Обоснование затрат на защиту информации с точки зрения защиты от инсайдерства

ОБОСНОВАНИЕ ЗАТРАТ НА ЗАЩИТУ ИНФОРМАЦИИ С ТОЧКИ  ЗРЕНИЯ ЗАЩИТЫ ОТ ИНСАЙДЕРСТВА

РЕФЕРАТ

ВЫПОЛНИЛ:                  .--------

ПРОВЕРИЛ:                  К ---------.

Санкт-Петербург

2010

• СОДЕРЖАНИЕ
1. ВВЕДЕние.………………………………………………………………..3
2. КЛАССИФИКАЦИЯ ИНСАЙДЕРОВ....................................................…5
3. ПРЕДПОСЫЛКИ К ПОЯВЛЕНИЮ ИНСАЙДЕРОВ.....………………..7
4. ЭКОНОМИЧЕСКАЯ СОСТАВЛЯЮЩАЯ..............................…………11
5. пРИложение…………….…………....…………………………….….16
6. список используемой литературы…..…………..……….…17
 
 


ВВЕДЕНИЕ

      Информационная  безопасность, инсайдеры, хакеры, сетевые  вирусы – все это популярные по нынешним временам понятия. Эти термины  можно услышать сплошь и рядом  в той или иной интерпретации. Несмотря на то, что данная тема достаточно молода (лишь с середины 80-х годов об этом заговорили более менее серьезно), ей уже посвящены многочисленные тома книг различных авторов, в которых излагается от кого конкретно и как необходимо защищать информацию.

      Чем определяется эффективность работы подразделения информационной безопасности, да и всей службы безопасности в целом? Количеством раскрытых и расследованных инцидентов, суммами остановленных финансовых потерь, или может быть количеством выявленных внутренних (инсайдеров) или внешних врагов?  Ответ на данный вопрос не столь однозначен, как может показаться на первый взгляд.  
Когда мы имеем дело с явным фактом кражи резервных копий магнитных носителей информации или потерей данных вследствие событий техногенного характера, тут уже все факты как говорится налицо. Были диски, и вот их уже нет, была информация на корпоративном сервере и вот она стерта. Такие случаи осязаемы и видны даже непрофессионалу. А вот как быть в случаях, если конфиденциальная информация как хранилась в компьютере в виде нескольких файлов, так и лежит там. Если мы ее видим, это не значит, что информация не была уже кем-то похищена и инцидент уже имел место. Так же мы возможно предположить, что кто-то случайно, а может намеренно сделал несколько копий этих файлов и отправил их по вашей же корпоративной почте конкурентам, или вынес в кармане скопированными на диск, или просто не распечатал на ближайшем сетевом принтере. Эти вопросы часто остаются без ответа. Только когда вдруг в СМИ, или у конкурентов появляется конфиденциальная информация из упомянутых выше файлов, все начинают искать злоумышленника, закрывать каналы утечки и показывать коллегам, что работники службы безопасности тоже не зря кушают свой хлеб и уже вот-вот раскроют этот инцидент. 
В появлении внутренних врагов – инсайдеров первоначально «виновата» технологическая революция. Если раньше конфиденциальная и служебная информация занимала множество шкафов и сейфов в отдельных изолированных помещениях, получить документ содержащий сведения составляющие тайну предприятия можно было только под роспись и соответственно в конце рабочего дня также под роспись вернуть его, то теперь… Все что лежало в этих шкафах и сейфах легко поместится на несколько магнитных дисках, а уж скопировать с них нужную информацию и вынести за пределы родного предприятия - минутное дело.                  
 Нелегко устоять перед соблазном взять то, что свободно лежит на сервере, ведь это может пригодиться на новом месте работы. А если есть человек, который согласен заплатить за эту информацию? Угрызений совести инсайдеры почти никогда не испытывают, большинство из них довольствуется малым. Но малым для одного – понятие относительное, когда речь идет о достаточно большом предприятии (организации), на котором, предположим, каждый пятый-шестой сотрудник регулярно пользуется информацией в корыстных целях.                                     
 Согласно отчету «Global Business Security Index Report», публикуемому компанией IBM ежегодно, именно внутренние угрозы, исходящие от собственных сотрудников компаний, является одной из самых опасных угроз нынешних лет.

КЛАССИФИКАЦИЯ ИНСАЙДЕРОВ

      Как признают различные эксперты, самым  слабым звеном любой системы информационной безопасности является человек. Одновременно с этим он является самым важным ее звеном. Инсайдеров можно разделить на несколько типов (таблица 1).

      Первую  группу представляют сотрудники умышленно  совершающие противоправные действия. Под противоправными действиями подразумеваются все деяния, противоречащие кодексу этики, политики безопасности и другим принятым внутренним документам. Это наиболее опасная группа, поскольку именно сотрудники, входящие в нее, как правило, заранее планируют свои действия и соответственно тщательно готовятся к ним. Внутри этой группы можно выделить сотрудников, ищущих возможность обогатиться за счет предприятия (организации) и тех, кто вынашивающих планы мести как руководству предприятия (организации) за нанесенные обиды или неоцененный талант, так и своим же более удачливым коллегам. В первом случае предприятию грозят финансовые потери и потеря имиджа в глазах клиентов, во втором возможны уже более крупные финансовые потери и морально-этические конфликты внутри предприятия. К примеру, один уволенный работник UBS PaineWebber подложил в корпоративную сеть "логическую бомбу", ущерб от которой составил 3 миллиона долларов. Под "логическая бомба" подразумевается компьютерная программа, выполняемая периодически или в определенный момент времени с целью исказить, уничтожить или модифицировать данные. Основными условиями запуска логической бомбы являются наступление определенной даты, нажатие определенных клавиш или внутренний таймер программы). 
Данная программа поразила около 1000 из 1500  компьютеров  корпоративной сети компании.                             
К второй группе относятся сотрудники, неумышленно совершающие противоправные действия. Зачастую, эта группа менее опасна, чем предыдущая, но ущерб от инсайдеров этой группы может быть колоссальным и, как правило, его очень тяжело спрогнозировать.

      Чаще  всего в эту группу попадают пользователи и администраторы корпоративной сети из любопытства или по незнанию меняющие настройки сети, программ, модулей или вследствие своего безответственного отношения не устанавливающие важные заплатки к программному обеспечению. Последнее относится в большей степени только к администраторам сети.

      Пример  «работы» данного вида инсайдеров: 11 декабря 2003 года корпоративная сеть крупной компании в Мурманске  подверглась  ddos атаке изнутри. Работа сетевых программ остановилась. Все сотрудники лишились доступа к глобальной сети Интернет. Причиной оказалась халатность администратора сети, не проследившего за надлежащей работой антивирусной системы. В результате сеть подверглась воздействию сетевого вируса, что и вывело практически всю её из строя на несколько суток. Убытки для всей компании подсчитывать никто не стал. Но масштабы их оценить возможно.

      К третьей группе можно отнести   сотрудников, не предпринимающим действий при совершении их коллегами как-либо противоправных деяний. Эта группа, конечно же, не так опасна в нанесении убытков компании, как первые две группы. Они сами ничего не воруют и не думают о своей выгоде. Их главная опасность заключается в равнодушии к происходящим вокруг них событиям противоправного характера. В группу могут входить в принципе любые сотрудники компании, администраторы, пользователи сети. Они видят и понимают, что их коллега за соседним столом занимается воровством и получением личной выгоды за счет ресурсов компании, но молчат ничего не предпринимают.

 


ПРЕДПОСЫЛКИ К ПОЯВЛЕНИЮ ИНСАЙДЕРОВ

      Как же бороться с инсайдерами? Как и  любая деятельность в сфере информационной безопасности предприятия, защита от инсайдерства должна обеспечиваться дифференцированными  подходами к данному вопросу. Оптимальным решением в каждом конкретном случае, в каждой отдельно взятой компании или на предприятии может оказаться разный комплекс действий в зависимости от специфики деятельности. Если возможный дополнительный доход, сохранение кофиденциальности информации и тайн компании, сохранение благоприятных взаимоотношений внутри коллектива не является привлекательным для предприятия, то заниматься вопросами информационной безопасности и в частности защитой от инсайдеров не обязательно. В противном случае практически любой организации необходимо уделить должное внимание данной проблеме.

      Конкретные  методы борьбы и ее практические аспекты  в разных организациях могут существенно  отличаться, но все они направлены по существу на одну главную цель –  максимально возможное сокращение числа предпосылок к инсайдерству и полное исключение ситуаций приводящих к нему. Что бы понять, какие конкретно методы могут использоваться нужно, прежде всего, выявить предпосылки инсайдерства и оценить исходную ситуацию. 
 Предпосылками к появлению инсайдеров можно считать следующее:

1. Работники  имеют необоснованные привилегии  к ресурсам корпоративной информационной  сети. Например, могут просматривать  папки и находящиеся в них  файлы не имеющие отношения  к выполнению их непосредственных  обязанностей, при желании копировать  их и выносить копии порой очень важных документов за пределы организации. Ведь инсайдер – это не только человек, который преследует личную выгоду, к таковым можно отнести и человека, который из любопытства может просматривать доступные ему чужие папки в сети, а потом делиться их содержимым с друзьями и знакомыми. 
2. Работник не дорожит тем, что он имеет (престижность, стабильность, гордость за выполняемую работу и принадлежность коллективу, стремление приносить пользу и прибыль организации). Низкая лояльность сотрудников к компании. Обычно большая текучесть кадров – верный признак существования данной предпосылки.

3. Отсутствие  работающей системы материального  стимулирования. Если сотрудник  понимает, что как бы он ни  старался, сколько бы времени  он не проводил на работе – все равно получит только свою фиксированную ставку, но при этом денег ему не хватает, то рано или поздно он придет к мысли о нахождении дополнительных источников дохода. Причем необязательно, что это будет вторая работа, можно с успехом все делать и на основной работе. 
4. Отсутствие анализа поведения сотрудников (необязательно это функция возлагается на службу безопасности) и отсутствие системы разумного контроля за их действиями.

5. Отсутствие  работы, направленной на сплочение  коллектива и отсутствие нормальной доверительной связи подчиненный – начальник. Слишком часто руководство организаций недооценивает значимость этой работы.

6. Отсутствие  организации пропускного режима  и контроля доступа. Очень многие подразумевают под этим пунктом наличие охранника, который проверяет на входе и выходе содержимое выносимых пакетов, или в дополнение к нему автоматическую простейшую систему контроля доступа. Зачастую, система пропускного режима и контроля доступа настолько формальна, что и позволяет беспрепятственно инсайдерам проносить в обе стороны все что угодно.

      Таким образом, прежде всего необходимо оценить  ситуацию в компании и провести подготовительную работу, направленную на устранение всех выявленных предпосылок инсайдерства, связанных с вашими сотрудниками.

После того, как предварительный анализ имеющейся ситуации будет произведен, можно переходить к следующей  стадии: к принятию решений и конкретных действий.

1. Создание реально работающих организационно-распорядительных документов, регламентирующих доступ к сведениям, составляющим коммерческую тайну, конфиденциальным и служебным сведениям, в том числе представленным и в электронном виде. Сотрудники должны ознакомиться с такими документами и подписать их. Потребуется также эффективно работающая система контроля, за выполнением всеми сотрудниками этих документов. Страх перед возможным наказанием остановит большую часть из потенциальных инсайдеров. Создавать нужно реально выполнимые документы.
2. Создание эффективной системы защиты информации. Под этим подразумевается либо приглашение грамотного стороннего консультанта, который сможет проанализировать защиту вашей сети, оптимизировать ее, максимально затруднить возможность несанкционированного доступа к информации, либо эту работу может выполнить грамотный специалист, принятый на постоянную работу.
3. Создание эффективной системы пропускного режима и контроля доступа. Должна быть разработана четкая и понятная инструкция для сотрудников контрольно-пропускного пункта по действиям в любых ситуациях. Как только у сотрудника появляется некоторая свобода для творчества, возможны крупные неприятности.
4. Создание системы, направленной на повышение у ваших сотрудников чувства ответственности и гордости за выполняемую ими работу. Это означает – не только брать от них, но и отдавать им, действовать по принципу: «Вы компании и компания – вам». Это - должно стать одной из задач службы по управлению персоналом.
5. Максимально возможное вовлечение сотрудников в производственный процесс получения прибыли с прямой зависимостью премиальной части зарплаты от личных показателей сотрудника. Это также означает, что если сотрудник приложил на работе максимум своих усилий – он не должен остаться без материального поощрения, даже если в конечном итоге прибыль не была получена по независящим от него причинам.
6. Создание системы повышения компьютерной грамотности сотрудников позволит снизить риск необдуманных действий на рабочих местах и избежать утечек информации по недосмотру или же отсутствию необходимых навыков обращения с компьютером.

При этом стоит учитывать, что при безупречной  системе поощрений сотрудников, хорошем микроклимате в коллективе, при действенной системе пропускного режима, отлаженной работе системы защиты информации нельзя быть уверенным, что не появятся сотрудники,  целенаправленно охтящиеся за важной информацией. Выявлять таких работников - прямая задача кадровой службы и службы безопасности.

ЭКОНОМИЧЕСКАЯ СОСТАВЛЯЮЩАЯ

      После того, как предпоссылки изучены, наступает  время принятия решений и внедрения  их в работу действующего предприятия. Комплекс организационных и технических  средств, которые планирутеся применить на практике является дополнительной нагрузкой на бюджет организации. Соответственно, необходимо серьезно подходить к анализу рисков и принятию соответствующих решений.

      Анализ  информационных рисков — это процесс  комплексной оценки

защищенности  информационной системы с переходом к количественным или качественным показателям рисков. При этом риск —  это вероятный ущерб, который зависит от защищенности системы. Из определения следует,  что на выходе алгоритма анализа риска можно получить либо количественную оценку рисков (риск измеряется в деньгах), либо — качественную (уровни риска; обычно: высокий, средний, низкий).

      В первую очередь стоит составить  перечень ценной информации, защиту которой  необходимо обеспечить. Необходимо оценить  ее стоимость. Но оценить стоимость физических серверов с базами данных не составляет труда, тогда как владелец информации, содержащихся на сервере, зачастую крайне затрудняется это сделать. Чаще всего эта задача ложится на плечи квалифицированных экспертов.

      После этого можно перейти составлению модели нарушителя. Модель нарушителя представляет собой некое описание типов злоумышленников, которые намеренно или случайно, действием или бездействием способны нанести ущерб информационной системе. Чаще всего по глобальному признаку они делятся на внешних и внутренних. Однако такое деление не является достаточным. Поэтому ранжирование проводится с указанных категорий на подкатегории. Например, на тех кто причиняет ущерб намеренно и ненамеренно, или по квалификации нарушителей.

      Следующим этапом необходимо идентифицировать возможные угрозы, угрожающие обследуемой информационной системе. Угроза — вероятность реализации одной из уязвимостей системы. Изначально стоит учесть все риски, однако оценить необходимо те, реализация которых возможна исходя из выявленной модели нарушителя. Таким образом, после идентификации угрозу следует соотнести с моделью нарушителя c целью определения соответствующей категории нарушителя и последующей оценки вероятности реализации данной угрозы. Например, если модель нарушителя не описывает категорию удаленных пользователей и в компании не предусмотрен удаленный доступ к системе, то вероятность утечки информации в результате доступа к ней извне ничтожно мала, и ею можно пренебречь при расчете рисков.

      На  основании полученных: стоимости информационного ресурса, меры уязвимости ресурса к конкретной угрозе и степени вероятности реализации угрозы - можно получить ожидаемые потери от конкретной угрозы за определенный период времени.

      После этого можно классифицировать риски по полученным оценкам и  выбрать один из следующих способов действий: уход от риска, то есть отказ от источника риска, снижение риска до приемлимого уровня, принятие риска и передача ответственности, то есть страхование. В рамках рассматриваемой темы наиболее актуальным действием будет снижение риска до приемлимого уровня. Таким образом, управление рисками сводится к снижению величин высоких и средних рисков до характерных для низких рисков значений, при которых возможно их принятие. Снижение величины риска достигается за счет уменьшения одной или нескольких составляющих (стоимость, мера уязвимости, вероятность реализации угрозы) путем принятия определенных мер. Снизить стоимость зачастую не представляется возможным, снижение показателей вероятности реализации угрозы и уязвимости ресурса, может быть достигнуто за счет технических мер и организационных мер.

      Разница между начальными и остаточными  рисками и является экономическим  обоснованием инвестиций в информационную безопасность.

      Если  обратиться к исследованиям зарубежных и отечественных компаний по всему миру, а именно:

1. PricewaterhouseCoopers и CXO Media (Global State of Information Security 2005)
2. InfoWatch («Внутренние ИТ-угрозы в России 2006»)
3. Ponemon Institute («2006 Annual Study — Cost of a Data Breach»)
4. CERT (2005 E-Crime Watch Survey)

то можно увидеть  следующие данные:

1. каждая вторая американская компания хотя бы раз в течение года пострадала от утечки чувствительных сведений
2. при опросе более 13 тыс. компаний в 63 странах мира (в том числе и России), более половины (60%) всех инцидентов ИТ-безопасности за 2005-2006й год были вызваны именно инсайдерами.
3. По исследованиям внутренние угрозы превалирует над внешними в соотношении 6:4. Причем среди всех инсайдерских угроз наиболее опасна утечка конфиденциальной информации (65,8% )
4. Среди опрошенных компаний лишь 10,5% пытается хоть как-то бороться с инсайдерскими угрозами.
5. При опросе обычных граждан, выяснено, что подавляющее большинство из них (59%) либо уже отказалось от услуг, либо собирается прервать сотрудничество в ближайшем будущем с компанией, которая допустила утечку конфиденциальной информации.
6. Для России среди последствий утечек фигурируют удар по репутации и потеря клиентов (79,2%), прямые финансовые убытки (46%), падение конкурентоспособности (25,2%). При этом юридические издержки составляют лишь 10% в силу особенностей отечественного законодательства.
7. Каждая четвертая отечественная организация (24%) допустила в 2006 году от 1 до 5 утечек, а почти каждая восьмая (12,9%) — от 6 до 25.

Таким образом, актуальность утечек информации от инсайдерских атак в настоящее время чрезвычайно высока. В основном, ущерб склыдвается из потерь клиентов, прямых убытков, снижения конкурентоспособности и потерь имиджа компании.

      Чтобы получить опорные значения убытков, возьмем опять статистику. В результате каждого инцидента утечки компании теряли от двух до двухсот шестидесяти тысяч записей. Усредненное значение составляет 26,3 тыс. человек. В среднем, каждая компания понесла 0,8 млн. долл. косвенных издержек, 1,6 млн. долл. прямых издержек и недополучила прибыли 2,6 млн. долл. В сумме 5 млн. долл. за год.

      Даже  если отбросить из оценочного ущерба целый ряд параметров, так или  иначе не применимых к отечественным  организациям, то все равно останется  упущенная выгода и часть косвенного ущерба от потери имиджа, например. То есть, для крупных российских организаций можно прогнозировать средний ущерб из-за утечки в районе нескольких миллионов долларов.

      Если  рассмотреть стоимость решений  по защите информации от инсайдерства, то получим, что организационные меры для организации, имеющей свой отдел по защите информации формально не будут стоить ничего. Если такого отдела нет, то для внедрения распорядительных документов, инструкций и прочей документации, можно привлечь стороннюю фирму или сотрудника, что обойдется в среднем от 14 тысяч в месяц для малой компании, для больших сумм в случае крупной организации.

      Технические решения по защите информации от инсайдерских попыток нанесения ущерба колеблятся от нескольких десятков до нескольких сотен долларов за одну рабочую станцию.

      Таким образом, основные технические и  организационные мероприятия по защите конфиденциальной информации от инсайдерства обойдутся средней  и крупной организации намного  дешевле, чем потенциальные потери от среднестатистической  утечки, которые по статистике имеют место быть в значительной доле предприятий по всему миру.

 
 


ПРИЛОЖЕНИЯ.

ИНСАЙДЕРЫ
Умышленно совершающие противоправные действия		Неумышленно совершающие противоправные действия		Сочувствующие, к совершаемым противоправным действиям
С целью  обогащения	С целью мести	Из любопытства  или по незнанию	Из благих побуждений	Не принятие никаких мер по выявлению или  предотвращению возможных действий

Таблица 1.

список  используемой литературы

1. Пугачев В.П. Руководство персоналом организации: Учебник. - М.: Аспект Пресс, 1998
2. Управление персоналом организации: Учебник. / Под ред. А.Я.Кибанова. : ИНФРА-М, 1997.
3. Кадровая служба и управление персоналом предприятия: Журнал. N5, 2007год
4. Паркинсон С. Н., Рустомджи М.К., Искусство управления, - М.: Агентство «ФАИР», 1998.
5. Базаров Т.Ю., «Управление персоналом» Москва: «ЮНИТИ», 1998.
6. «Проверять — не доверять»

   http://inf-bez.ru/

7. «Психологические аспекты информационной безопасности организации»

http://citadels.ru/articles/index.php?at:e=11&at:id=511

8. «Убедите своих сотрудников в необходимости серьезного отношения к безопасности» 
   http://www.microsoft.com/rus/smb/issues/sgcv2/security-guidance-centre/Get-Your-Employees-to-Take-Security-Seriously.mspx
9. «Оценка информационных рисков в обеспечении экономической безопасности предприятия» О. Б. Кузнецова
10. Десять самых громких инсайдерских инцидентов 2006 http://www.cnews.ru/reviews/free/insiders2006/articles/rating.shtml
11. Сколько стоит утечка на самом деле? www.sec4all.net/modules/myarticles/article.php?storyid=209
12. Безопасность, которой нет www.alga-consulting.ru/features-template-compatibility/2010-03-09-13-10-06/1448-stbz1
13. SecrecyKeeper - как система защиты от инсайдеров

secrecykeeper.com/doc/doc2.html

14. Касперский представил "дочку", специализирующуюся на ЗИ от инсайдеров

www.imho.ws/showthread.php?t=68964

15. Star Force Защита от копировния и DRM решения

http://www.star-force.ru/solutions/business/sf_proactive_for_business/