Вид информации

Расположение

Производственная

Планы производства, интеллектуальная собственность, описание технологий, внутренние разработки

Файловые серверы, СУБД

Конфиденциальная

Инфраструктурная

Карты IT- инфраструктуры, IT- системы, логины

Локально

Чувствительная

Финансовая

Бухгалтерская информация, финансовые планы, отчеты, балансы

База 1С либо другая среда работы финансового департамента

Конфиденциальная

Кадровая

Личные карточки персонала

Локально, файловый сервер

Чувствительная

Файлы и документы для внутреннего обмена

Персональная

Внутрикорпоративная

Отчеты собраний, приказы, распоряжения, статьи

Файловый сервер

Общедоступная

Развлекательная

Фотографии, видеоролики, фильмы, аудиокниги

Расширенные папки либо выделенный файловый сервер

Думаю, для всех очевидно, что на фоне нынешнего кризиса происходит грандиозный передел собственности, особенно в финансовой сфере. Конкуренты не гнушаются никакими средствами. На войне как на войне - в ход идёт всё. Использование инсайдерской информации часто становится ключом к победе, а для кого-то источником поражения.

Речь уже идет не об ущербе репутации фирмы или о некоторых финансовых трудностях. Часто речь идет о банальном выживании предприятия.

Классическое определение инсайдера - член ограниченного круга людей, имеющих доступ к важной закрытой информации. С точки зрения финансовых структур, инсайдер — это злоумышленник, использующий свои знания об эмитентах ценных бумаг для игры на фондовой бирже или продающий эти сведения третьим лицам. Правоохранительные органы будут считать инсайдером оперативника, продающего сведения об операциях МВД организованному преступному сообществу.

Специалисты по информационной безопасности считают инсайдерами сотрудников компании, имеющих доступ к неким конфиденциальным данным, размещенным в локальной сети предприятия.

Разгласить эти сведения сотрудники могут вольно или невольно. Кроме откровенного хищения данных с целью их дальнейшей перепродажи или разглашения во вред предприятию, существует огромный пласт случаев, когда информация попала не в те руки по ошибке или по недоразумению. Это может быть и письмо с важными спецификациями, отправленное не туда «глупой» секретаршей, а может и недостаточно четкое указание начальства, в результате которого на сайт корпорации выкладываются «исходники» нового программного продукта.

Какие же данные чаще всего интересуют злоумышленников?

Как ни странно, по статистике, инсайдеров больше всего интересуют персональные данные. 68% респондентов исследования «Инсайдерские угрозы в России 2009» отметили, что именно этот тип информации становится объектом нездорового внимания сотрудников. И это несмотря на то, что такая информация не приносит такой коммерческой выгоды, как технические спецификации новых продуктов, финансовые отчеты или бизнес-планы… Эти сведения также привлекают внимание инсайдеров, но они традиционно лучше защищаются у нас в стране.

Хочется отметить, что защитить абсолютно всю информацию от утечек, нереально. По мнению специалистов нашей компании, имеет смысл сфокусироваться на защите двух основных категорий данных:

• Информации о клиентской базе - названия компаний, имена и контактные данные клиентов (телефонов, адресов, электронной почты).
• Информации, которая может вызвать панику у клиентов или срыв крупных сделок. Это может быть информация о массовых сокращениях персонала, замораживании вкладов, задержках выплат и т.п.

Следует отметить, что системы защиты от несанкционированного доступа (НСД) или распределения прав (DRM) в данном случае помогут весьма ограниченно. Это происходит оттого, что, именно люди, имеющие доступ и соответствующие права, как правило, становятся источником утечки информации. Зато весьма эффективными будут так называемые DLP-системы (Data Leakage Prevention) - системы предотвращения утечек.

Информацию о клиентах можно защитить с помощью формальных методов защиты баз данных. Это анализ формальных атрибутов файла или отслеживание файловых отпечатков (fingerprints). На данный момент эти методы защиты поддерживают большинство разработчиков DLP-систем.

Относительно утечек "панической" информации можно сказать, что отследить их реально только с помощью так называемой контентной фильтрации. Эта популярная технология, используемая антивирусами и спам-фильтрами. Суть ее состоит в сортировке и классификации всего потока информации в информационной инфраструктуре предприятия на основе их содержания (контента). Это весьма сложные и специфические продукты, которые должны настраиваться профессионалами.

Ключевой функцией для предотвращения инсайдерской утечки информации является блокирование перемещения информации из внутренней информационной системы наружу. Это, прежде всего - пересылка по электронной почте и по интернет-каналам (что есть не во всех системах). Многие предприятия останавливаются на обычном мониторинге информации с последующим ее анализом. Это представляется более простым методом, чем разбираться на лету с возможными ложными срабатываниями DLP-систем. Но стоит отметить, что предотвратить утечку действительно важной для существования предприятия информации значительно лучше, чем пост-фактум наказать виновных. Поэтому внедрение и обслуживание DLP-систем - лучшее вложение средств для защиты вашего бизнеса от инсайда.

Автоматизированные системы по предотвращению утечек информации на основе контентной фильтрации - далеко не единственное звено в цепи защиты. Эффективная защита конфиденциальных данных может быть создана только из комбинации технических, административных и организационных мер! Как неотъемлемая часть борьбы с инсайдом, на предприятии должны выполняться следующие мероприятия:

• Стандартизация программного обеспечения с четким выполнением требований специалистов по безопасности. Через различное, нестандартное ПО, установленное пользователями на своих компьютерах улетучивается весьма приличный процент информации.
• Неукоснительное соблюдение правил безопасности предприятия, в том числе организационных (ограничения доступа в помещения, ограничения использования переносных накопителей и т.п.)
• Юридически закрепленная ответственность персонала за разглашение конфиденциальной информации с четким определением, что именно входит в перечень такой информации.
• Централизованный и полностью контролируемой ИТ-службой и службой безопасности выход сотрудников любого ранга в сеть Интернет.
• Использование методов аутентификации пользователей при работе в информационной среде предприятия.
• Обучение сотрудников безопасной работе с информацией, компьютерами и сети Интернет.

"Консультант", 2011, N 9

"Кто владеет информацией, тот владеет миром" - этот знаменитый афоризм Уинстона Черчилля как никогда актуален именно в современном обществе. Знания, идеи и технологии выходят на первый план, и лидерство на рынке зависит от того, насколько успешно компания может управлять своим интеллектуальным капиталом.

В этих условиях особое значение приобретает информационная безопасность организации.

Любая утечка информации к конкурентам или обнародование сведений о внутренних процессах мгновенно сказываются на тех позициях, которые компания занимает на рынке.

Система информационной безопасности должна предусматривать защиту от самых разных угроз: технических, организационных и тех, причиной которых является человеческий фактор.

Как показывает практика, основным каналом утечки информации являются инсайдеры.

Враг в тылу

Обычно инсайдером принято называть сотрудника компании, который приносит ей ущерб путем разглашения конфиденциальной информации.

Однако если мы рассмотрим три главных условия, обеспечение которых и является целью информационной безопасности, - конфиденциальность, целостность, доступность, - это определение можно расширить.

Инсайдером можно назвать сотрудника, имеющего легитимный служебный доступ к конфиденциальной информации предприятия, который становится причиной разглашения, искажения, порчи или недоступности информации.

Такое обобщение допустимо, потому что в современном мире нарушение целостности и доступности информации зачастую влечет за собой гораздо более тяжелые последствия для бизнеса, чем разглашение конфиденциальных сведений.

Для многих предприятий прекращение бизнес-процессов даже на непродолжительное время грозит ощутимыми финансовыми потерями, а нарушение функционирования в течение нескольких дней может нанести столь сильный удар, что последствия его могут стать фатальными.

Различные организации, изучающие бизнес-риски, регулярно публикуют результаты своих исследований. Согласно им инсайд уже на протяжении многих лет стабильно занимает первое место в списке причин нарушения информационной безопасности.

В связи с устойчивым ростом общего количества инцидентов можно сделать вывод, что актуальность проблемы все время возрастает.

Модель угроз

Для того чтобы выстроить надежную эшелонированную систему информационной безопасности, которая поможет эффективно бороться с проблемой, необходимо в первую очередь создать модель угроз.

Нужно понять, кто такие инсайдеры и что ими движет, почему они совершают те или иные действия.

Существуют разные подходы к созданию таких моделей, однако для практических целей можно воспользоваться следующей классификацией, которая включает в себя все основные типы инсайдеров.

Внутренний "хакер"

Такой сотрудник, как правило, обладает инженерной квалификацией выше среднего уровня, понимает устройство ресурсов предприятия, архитектуру вычислительных комплексов и сетей.

Действия по взлому совершает из любопытства, спортивного интереса, исследуя границы собственных возможностей.

Обычно он осознает возможный вред от своих действий, поэтому редко приносит ощутимый ущерб.

Степень опасности средняя, поскольку его действия могут вызвать временную остановку некоторых происходящих в компании процессов. Выявление деятельности возможно в первую очередь техническими средствами.

Безответственный и низкоквалифицированный сотрудник

Может обладать различными навыками и работать в любом подразделении предприятия.

Опасен потому, что не имеет обыкновения задумываться о последствиях своих действий, может работать с информационными ресурсами компании "методом проб и ошибок", ненамеренно уничтожать и искажать информацию.

Обычно не запоминает последовательности своих действий, а обнаружив негативные последствия, может просто умолчать о них.

Может раскрыть сведения, составляющие коммерческую тайну, в личном разговоре с приятелем или даже при общении на интернет-форумах и в социальных сетях.

Степень опасности очень высокая, особенно с учетом того, что этот тип нарушителя встречается чаще других. Последствия его деятельности могут быть гораздо серьезнее, чем у сознательного злоумышленника.

Для того чтобы предотвратить последствия совершенных им действий, необходимо принять целый спектр различных мер, как технических (авторизация, обязательное разделение рабочих сессий по аккаунтам), так и организационных (постоянный контроль со стороны руководства за процессом и результатом работы).

Психологически неустойчивый человек

Так же как представитель предыдущего типа, может работать на любой должности и обладать весьма разной квалификацией. Опасен по причине склонности к слабомотивированным действиям в условиях психологического дискомфорта: при экстремальных ситуациях, психологическом давлении со стороны других сотрудников или просто сильном раздражении.

В аффективном состоянии может выдать конфиденциальную информацию, повредить данные, нарушить привычный ход работы других людей.

Степень опасности средняя, однако этот тип нарушителя встречается не так часто.

Для предотвращения негативных последствий его поступков эффективнее всего использовать административные меры - выявлять таких людей еще на этапе собеседования, разграничивать доступ к информации и поддерживать комфортный психологический климат в коллективе.

Оскорбленный, обиженный сотрудник

Самая широкая группа потенциальных нарушителей режима информационной безопасности.

Теоретически совершать недружественные по отношению к компании поступки способно абсолютное большинство сотрудников.

Это может произойти в том случае, если руководство проявляет неуважение к личности работника или его профессиональным качествам, и когда это сказывается на уровне оплаты труда.

Потенциально такой тип инсайдеров представляет очень высокую опасность - возможны и утечки, и повреждения информации, причем вред от них будет гарантированно ощутимым для бизнеса, поскольку сотрудник наносит его сознательно и хорошо знает все уязвимые места.

Для выявления деятельности нужны как административные, так и технические меры.

Нечистый на руку сотрудник

Сотрудник, который пытается пополнить свое личное благосостояние за счет имущества компании, в которой он работает. Среди присваиваемых вещей могут оказаться различные носители конфиденциальной информации (жесткие диски, флэш-накопители, корпоративные ноутбуки).

В этом случае есть риск попадания информации к людям, для которых она не предназначалась, с последующей публикацией или передачей конкурентам.

Опасность средняя, но такой тип встречается нередко.

Для выявления нужны в первую очередь административные меры.

Представитель конкурента

Обладает, как правило, высокой квалификацией, занимает должности, обеспечивающие широкие возможности для получения информации, в том числе и конфиденциальной. Это либо завербованный, перекупленный конкурентами действующий сотрудник (чаще), либо специально внедренный в компанию инсайдер.

Степень опасности очень высокая, поскольку вред причиняется сознательно и с глубоким пониманием ценности информации, а также уязвимых мест компании.

Для выявления деятельности нужны и административные, и технические мероприятия.

Что похищаем?

Понимание проблемы инсайда невозможно без рассмотрения характера похищаемой информации.

Согласно статистике персональные данные клиентов, а также сведения о компаниях-клиентах и партнерах - самые востребованные, они похищаются более чем в половине случаев. Далее следуют детали сделок, условия контрактов и поставок. Также большой интерес вызывают финансовые отчеты.

При формировании комплекса защитных мер перед каждой компанией неизбежно возникает вопрос: какая конкретно информация требует специальных защитных мер, а какая в них не нуждается?

Разумеется, основанием для таких решений являются данные, полученные в результате анализа рисков. Однако зачастую предприятие располагает ограниченными финансовыми ресурсами, которые можно потратить на систему информационной безопасности, и их может не хватить на то, чтобы минимизировать все риски.

Два подхода

К сожалению, не существует готового ответа на вопрос: "Что защищать в первую очередь".

К решению этой задачи можно подойти с двух сторон.

Риск - это комплексный показатель, который учитывает как вероятность той или иной угрозы, так и возможный ущерб от нее. Соответственно, при расстановке приоритетов безопасности можно ориентироваться на один из этих показателей. Это значит, что в первую очередь защищается та информация, которую легче всего похитить (например, если к ней имеет доступ большое количество сотрудников), и та, похищение или блокирование которой приведет к наиболее тяжелым последствиям.

Важным аспектом проблемы инсайда является канал передачи информации. Чем больше физических возможностей несанкционированной передачи информации за пределы компании, тем выше вероятность того, что это произойдет.

Механизмы передачи

Механизмы передачи можно классифицировать следующим образом:

• устная передача (личный разговор);
• технические каналы передачи данных (телефонная связь, факсимильная связь, электронная почта, системы обмена сообщениями, различные социальные интернет-сервисы и т.д.);
• переносные носители и мобильные устройства (мобильные телефоны, внешние жесткие диски, ноутбуки, флэш-накопители и т.д.).

Согласно исследованиям в наше время самыми частыми каналами передачи конфиденциальных данных являются (по принципу убывания): электронная почта, мобильные устройства (в том числе ноутбуки), социальные сети и иные интернет-сервисы (такие, как системы мгновенного обмена сообщениями) и прочее.

Для контроля технических каналов могут применяться различные средства, в широком ассортименте представленные сейчас на рынке средств безопасности.

Например , системы контентной фильтрации (системы динамической блокировки), средства ограничения доступа к носителям информации (CD, DVD, Bluetooth).

Также применяются административные меры: фильтрация интернет-трафика, блокировка физических портов рабочих станций, обеспечение административного режима и физической охраны.

При выборе технических средств защиты конфиденциальной информации необходимо применять системный подход. Только таким образом можно добиться наибольшей эффективности от их внедрения.

Нужно также понимать, что задачи, стоящие перед каждой компанией, уникальны, и использовать решения, применяемые другими организациями, зачастую просто невозможно.

Борьба с инсайдом не должна вестись сама по себе, она является важным компонентом общего бизнес-процесса, направленного на обеспечение режима информационной безопасности.

Он должен осуществляться профессионалами и предусматривать полный цикл мероприятий: разработку политики информационной безопасности, определение области действия, анализ рисков, выбор контрмер и их внедрение, а также аудит системы информационной безопасности.

Если предприятие не обеспечивает режим информационной безопасности во всем комплексе, то риски финансовых потерь от утечек и порчи информации резко возрастают.

Минимизация рисков

Проверка

1. Тщательная проверка соискателей, претендующих на любые должности в компании. Рекомендуется собрать максимум информации о кандидате, включая содержимое его страниц в социальных сетях. Также может помочь обращение за характеристикой на предыдущее место работы.
2. Особенно тщательной проверке должны подвергаться кандидаты на должности инженеров IT. Практика показывает, что более половины всех инсайдеров - системные администраторы и программисты.
3. При приеме на работу должна проводиться хотя бы минимальная психологическая проверка кандидатов. Она поможет выявить соискателей с неустойчивой психикой.

Право доступа

1. Система разделения доступа к корпоративным ресурсам. На предприятии должна быть создана регламентирующая документация, ранжирующая информацию по уровню конфиденциальности и четко прописывающая права доступа к ней. Доступ к любым ресурсам должен быть персонифицированным.
2. Права доступа к ресурсам должны выделяться по принципу "минимальной достаточности". Доступ к обслуживанию технических средств, даже с правами администратора, не всегда должен сопровождаться доступом к просмотру самой информации.
3. Насколько возможно глубокий мониторинг действий пользователя, с обязательной авторизацией и записью сведений о произведенных операциях в журнале. Чем тщательнее ведутся журналы (логи), тем в большей мере руководство владеет ситуацией в компании. То же относится и к действиям сотрудника при использовании служебного доступа к Интернету.

Стандарт общения

1. Внутри организации должен быть принят свой стандарт общения, который исключал бы все формы некорректного поведения сотрудников по отношению друг к другу (агрессия, насилие, излишняя фамильярность). В первую очередь это относится к отношениям "руководитель - подчиненный".

У сотрудника ни при каких условиях не должно появиться ощущение, что с ним поступают несправедливо, его недостаточно ценят, излишне эксплуатируют, обманывают.

Соблюдение этого простого правила позволит избежать абсолютного большинства ситуаций, провоцирующих сотрудников на инсайд.

Конфиденциальность

Соглашение о неразглашении конфиденциальной информации не должно быть простой формальностью. Оно должно быть подписано всеми сотрудниками, имеющими доступ к важным информационным ресурсам компании.

Кроме того, еще на этапе собеседования потенциальным работникам необходимо разъяснить, каким образом в компании ведется контроль за информационной безопасностью.

Контроль средств

Представляет собой контроль технических средств, используемых сотрудником для рабочих целей.

Например , использование личного ноутбука нежелательно, поскольку при увольнении сотрудника скорее всего не удастся узнать, какая информация на нем хранится.

По той же причине нежелательно использование ящиков электронной почты на внешних ресурсах.

Внутренний распорядок

На предприятии должны соблюдаться правила внутреннего распорядка.

Необходимо располагать информацией о времени пребывания сотрудников на рабочем месте.

Также должен быть обеспечен контроль перемещения материальных ценностей.

Соблюдение всех перечисленных правил позволит снизить риск порчи или утечки информации через инсайд, а значит, поможет предотвратить существенные финансовые или репутационные потери.

Управляющий партнер

группы компаний Hosting Community

По данным различных аналитических компаний утечка информации очень часто происходит не за счет ее хищения извне, а за счет передачи конфиденциальной информации собственными сотрудникам представителям организаций-конкурентов. Сегодня существует множество различных устройств, на которые могут быть скопированы любые документы, хранящиеся в локальной сети организации.

По данным различных аналитических компаний утечка информации очень часто происходит не за счет ее хищения извне, а за счет передачи конфиденциальной информации собственными сотрудникам представителям организаций-конкурентов. Сегодня существует множество различных устройств, на которые могут быть скопированы любые документы, хранящиеся в локальной сети организации. И это не только внешние USB-носители или CD/DVD-диски. Копировать информацию можно и на mp3-плееры, сотовые телефоны, которые напрямую к компьютеру могут и не подключаться, на внешнее оборудование, которое может подключаться к локальной сети через Wi-Fi и иными способами. Кроме того - это и отправка по электронной почте, средствами программ для обмена мгновенными сообщениями, через форумы, блоги, чаты. Вариантов много, можно ли защититься от них?

Для защиты данных от инсайдеров применяют различные методы, в число которых входит и использование специальных программ, предназначенных для контроля за использованием периферийных устройств. В этой статье мы рассмотрим несколько программ, как зарубежных производителей, так и отечественных, и постараемся определить, где и когда их следует применять.

Программа предназначена для ограничения доступа к различным периферийным устройствам, с возможностью создания "белых" списков, ведению мониторинга работы пользователей, теневому копированию файлов, копируемых на или с контролируемых устройств. Имеется возможность как централизованной установки драйверов слежения, так и их локальной установки.

Установка программы может осуществляться как централизованно, так и локально, если доступ к защищаемому компьютеру через сеть ограничен или невозможен. В единый дистрибутив входит несколько модулей: серверный, устанавливается на сервере офисной локальной сети разрешает/запрещает те или иные действия, сохраняет информацию в базу данных; клиентский, реализованный в виде драйвера слежения; администраторский и база данных, в качестве которой используется SQLite.

Драйвера слежения обеспечивают контроль различных портов, включая USB , CIM, LPT, WiFi, ИК и другие. В зависимости от типа порта можно запрещать доступ полностью, разрешать чтение или открывать полный доступ к устройству. Распределение доступа по времени отсутствует. Также замечено, что при разрешении доступа только на чтение к устройствам типа USB-флешек, возможность редактирования обычных текстовых файлов на этих устройствах с возможностью их сохранения на этом же носителе остается.

Показывает USB-устройства, подключенные к компьютерам, и ведет журнал действий пользователей с внешними накопителями информации. Информация о времени подключения/отключения устройств и о том, какие файлы и когда были прочитаны или записаны, сохраняется в базу данных. Реализовано теневое копирование файлов, которые читались или записывались на USB-устройства. Теневого копирования файлов, отправляемых на печать или иные устройства, нет, ведется лишь их журналирование.

Существует понятие "белого списка", в который заносятся USB-устройства, доступ к которым должен быть открыт всегда и на всех компьютерах (например, USB-ключи). Этот список единый для всех компьютеров, индивидуальных списков для отдельных пользователей не имеется.

обеспечивает настройку доступа к различным внешним устройствам, но не выделяет при этом из общего списка USB-устройств принтеры, подключаемые к этим портам. В то же время она различает сменные носители и может устанавливать для них различные виды доступа. Сменные носители автоматически заносятся в базу устройств (программа занесет в базу все USB-носители, когда-либо подключавшиеся к конкретному компьютеру), что позволяет применять назначенные для них права доступа для любых защищаемых с помощью программы компьютеров.

В ней имеется возможность использовать централизованную установку клиентских частей с помощью групповой политики Active Directory. При этом сохраняется возможность их установки локально и через панель администратора программы. Разграничение прав доступа осуществляется на основе политик контроля доступа, однако, допускается создание нескольких политик, которые могут применяться индивидуально для различных компьютеров. Кроме функции контроля доступа, позволяет осуществлять протоколирование использования устройств на локальном компьютере.

Программа поддерживает функцию теневого копирования – возможность сохранять точную копию файлов, копируемых пользователем на внешние устройства хранения информации. Точные копии всех файлов сохраняются в специальном хранилище и позже могут быть проанализированы с помощью встроенной системы анализа. Теневое копирование может быть задано для отдельных пользователей и групп пользователей. При включении функции "вести только лог" при копировании файлов будет сохраняться только информация о них (без сохранения точной копии файла).

В программе отсутствует понятие "белого списка" устройств. Вместо него в общей политике можно указать съемный носитель и разрешить к нему доступ с любого компьютера. Заметим, что в ней нет возможности применить такие же настройки к отдельным CD/DVD-дискам.

Программа компании GFI существенно превосходит по своим возможностям и , и – в ней, например, гораздо больше контролируемых устройств, чем у предыдущих программ (медиаплееры iPod, Creative Zen, мобильные телефоны, цифровые камеры, средства архивирования на магнитных лентах и Zip-дисках, Web-камеры, сканеры).

В программе предусмотрены три типовые настройки прав доступа – для серверов, рабочих станций и переносных компьютеров. В дополнение к блокированию устройств , в программе есть возможность блокирования доступа к файлам в зависимости от их типа. Например, можно открыть доступ на чтение к файлам документов, но запретить доступ к исполняемым файлам. Также имеется возможность блокирования доступа к устройствам не только по их типу, но и по физическому порту, к которому подключаются внешние устройства. Еще одна настройка прав доступа ведется по уникальным идентификаторам устройств.

Администратор программы может вести два типа списков устройств – тех, доступ к которым разрешен по умолчанию ("белый список"), и тех, доступ к которым запрещен ("черный список"). ИТ-специалист может давать временные разрешения на доступ к устройствам или группам устройств на отдельно взятом компьютере (реализуется за счет генерации специального кода, который может передаваться пользователю даже в том случае, если его компьютер отключен от сети и агент программы не имеет возможности подключиться к серверу).

В программе реализована поддержка новой функции шифрования, применяемой в системе Windows 7, которая называется BitLocker To Go. Эта функция используется для защиты и шифрования данных на съемных устройства. GFI EndPointSecurity может распознавать такие устройства и обеспечивать доступ к сохраненным на них файлам в зависимости от их типов.

Предоставляет администратору мощную систему отчетов. Подсистема статистики (GFI EndPointSecurity ReportPack) показывает (в текстовом и графическом виде) ежедневную сводку использования устройств как для выбранных компьютеров, так и для всех компьютеров в целом. Также можно получить статистические данные по активности пользователей в разрезе дня, недели, месяца с разбивкой по использованным приложениям, устройствам, путям доступа к файлам.

Одна из наиболее распространенных сегодня в России программ защиты информации от инсайдеров. издается в России под маркой «1С:Дистрибьюция»

Программа обеспечивает контроль не только устройств, работающих под управлением Windows Mobile, но и устройств, работающих под операционными системами iPhone OS и Palm OS. При этом обеспечивается и теневое копирование всех переписываемых файлов и данных вне зависимости от того, по какому порту эти устройства подключаются к контролируемой сети. Теневое копирование можно настроить не только по устройствам, но и по типам файлов, при этом тип будет определяться не на основе расширений, а на основе их содержания.

Предусмотрена возможность установки доступа "только чтение" для сменных носителей, включая ленточные накопители. Как дополнительная опция – защита носителей от случайного или преднамеренного форматирования. Так же можно вести протокол всех действий пользователей как с устройствами, так и с файлами (не только копирование или чтение, но и удаление, переименование и так далее).

Для уменьшения нагрузки на сеть при передаче данных, получаемых от агентов, и файлов теневого копирования, может использоваться потоковое сжатие. Данные теневого копирования в больших сетях могут сохраняться на нескольких серверах. Программа автоматически выбирает оптимальный сервер, учитывая пропускную способность сети и загрузку серверов.

Во многих организациях для защиты данных используются диски, защищаемые специальными программами шифрования - ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt и TrueCrypt. Для таких дисков программа может устанавливать специальные "политики шифрования", что позволяет разрешить запись только зашифрованных данных на съемные устройства. Поддерживается работа и с флеш-дисками Lexar JumpDrive SAFE S3000 и Lexar SAFE PSD, поддерживающих аппаратное шифрование данных. В ближайшей версии будет поддержана и работа со встроенным в Windows 7 средством шифрования данных на съемных носителях BitLocker To Go.

Теневое копирование предназначено не только для сохранения копий файлов, но и для проведения анализа перемещенной информации. может осуществлять полнотекстовый поиск по содержимому файлов, автоматически распознавая и индексируя документы в различных форматах.

Уже объявлено о выходе новой версии программы, в которой кроме полноценного поиска будет реализована и контентная фильтрация файлов, копируемых на съемные устройства хранения любых типов, а также контроль содержимого объектов данных, передаваемых с компьютера через каналы сетевых коммуникаций, включая приложения электронной почты, интерактивные web-сервисы, социальные сети, форумы и конференции, наиболее популярные службы мгновенных сообщений (Instant Messengers), файловые обмены по протоколу FTP, а также Telnet-сессии

Уникальной в новой версии является технология фильтрации текстовых данных в канале сетевой и локальной печати документов для заданий в форматах PCL и PostScript, что позволяет блокировать или разрешать печать документов в зависимости от их информационного содержания.

Выводы

Две первые из рассмотренных программ могут использоваться для защиты информации от хищений, но возможности их ограничены. Они в различной степени "закрывают" стандартные внешние устройства, но возможности их ограничены – и в части настроек, и в части проведения анализа работы пользователей. Эти программы можно рекомендовать "для пробы", для уяснения самого процесса защиты. Для крупных организаций, где используется разнообразное периферийное оборудование и требуется анализ деятельности пользователей, названные выше программы будут явно недостаточными.

Для них лучше обратить внимание на программы - и . Это профессиональные решения, которые могут применяться в компаниях как с малым, так и с большим количеством компьютеров. Обе программы обеспечивают контроль различных периферийных устройств и портов, имеют мощные системы анализа и формирования отчетов. Но и между ними есть существенные различия, поэтому программу компании GFI в этом случае можно принять за базовую. может контролировать не только устройства и работу с данными, но и использование программного обеспечения. Эта возможность "подтягивает" ее из ниши "Device Control" в сегмент "Content-Aware Endpoint DLP". Новые, заявленные возможности позволяют ей резко оторваться от своих конкурентов за счет появления возможности анализа контента на момент выполнения пользователем различных действий с данными, включая потоковые, а также за счет контроля ряда параметров контекста сетевых коммуникаций, включая адреса электронной почты, IP адреса, идентификаторы пользователей и ресурсов сетевых приложений и т.д. можно у партнеров "1Софт".

Михаил Абрамзон

Все права защищены. По вопросам использования статьи обращайтесь к администраторам сайта

В области информационной безопасности наибольшее внимание организации уделяют, как правило, защите от внешних атак, поэтому почти все средства, выделяемые на обеспечение безопасности, направляются на защиту уязвимых точек периметра сети предприятия. Сложившаяся ситуация нашла соответствующее отражение и на рынке решений ИТ-безопасности - в последние годы предлагается широкий спектр различных средств защиты от вирусов, червей, троянцев и прочих угроз извне.
Однако постепенно предприятия начинают осознавать новую опасность. Она исходит не от хакеров, не от спама или случайных вирусов, а от собственных сотрудников. Инсайдеры находятся внутри самой организации и наделены вполне легальными полномочиями, поэтому им гораздо проще получить доступ к интересующей их информации, чем любому злоумышленнику со стороны. Чтобы лучше разобраться в проблеме, обратимся к проведенному в 2006 году исследованию американской аналитической компании Aberdeen Group «The Insider Threat Benchmark Report - Strategies for Data Protection», в ходе которого были опрошены 88 крупных американских корпораций.

Основные результаты опроса крупных корпораций

Угроза со стороны инсайдеров все нарастает. Современный бизнес уже не может игнорировать эту опасность и усиленно готовится к противодействию. Компании, которые предпочитают ее не замечать или экономят на внедрении новых систем безопасности, несут серь езные убытки. Многие компании, упомянутые в исследовании, серьезно пострадали от утечек данных и только потом позаботились о мерах пресечения. Их пример должен послужить уроком для других фирм.

Предприятиям, желающим обезопасить себя от утечек конфиденциальной информации, следует со всей ответственностью подойти к решению проблемы. Иррациональная экономия на средствах безопасности выльется в солидные убытки в ближайшем будущем. Лучшим вариантом будет прибегнуть к помощи профессионалов, специализирующихся на системах защиты от инсайдеров. Такие системы смогут легко интегрироваться в уже существующую инфраструктуру. Вдобавок, компании-продавцы не только обеспечат работоспособность решения, но и гарантируют его высокую эффективность.

Как такового средства против инсайдеров не существует. Надежно защитить информацию поможет лишь применение целого комплекса мер и решений. Несмотря на инерционность крупных поставщиков, на рынке имеется достаточное количество готовых комплексов, обеспечивающих защиту от инсайдеров и утечек.

Одной из важнейших современных технологий защиты информации является фильтрация сетевого трафика (уже внедрена у 53% респондентов). Еще 28% планируют установить подобные фильтры в текущем году. Кроме того, весьма перспективной технологией является классификация данных. Хотя сегодня ее используют только 42% корпораций, в этом году их количество возрастет на 44% (то есть до 86%). Однако серьезное беспокойство вызывает тот факт, что неоправданно малое число респондентов использует другие эффективные решения для защиты от утечек и инсайдеров, например мониторинг действий служащих.

Для многих предприятий одним из главных препятствий (44%) на пути внедрения дополнительных средств защиты от утечек информации является ограниченность IT-ресурсов. В то же время внедрение таких средств защиты позволяет не только значительно уменьшить риск потери важных данных, но и заметно (на 17,5%) снизить затраты на деятельность ИТ-подразделений.

Текущее положение

Нет ничего удивительного в том, что последствия инсайдерских инцидентов зачастую оказываются гораздо более плачевными, чем даже удавшаяся атака хакеров. Причин тому немало. Одной лишь легкостью доступа к различным информационным ресурсам все не объяснить. Дело в том, что информация, украденная инсайдерами, как правило, является более важной, чем та, которую способны раздобыть хакеры. Одна из важнейших причин роста угрозы со стороны инсайдеров и легкости осуществления ими противоправных действий - это халатность служб внутренней IT-безопасности (если таковые вообще существуют). Организации оказываются не готовыми противостоять инсайдерам, поскольку у них попросту нет соответствующих инструментов. Даже если угроза идентифицирована, работники сферы без опасности еще не могут должным образом противостоять ей, так как не наработали должного опыта в указанной сфере. Вообще, на рынке уже сейчас можно найти комплексные решения для защиты конфиденциальной информации от инсайдеров. К сожалению, зачастую ответственные руководители не понимают всей серьезности угрозы. Они по инерции продолжают заниматься наращиванием усилий по защите периметра своей организации именно от внешней опасности.

Между тем новостные агентства и СМИ уделяют все больше внимания именно проблеме инсайдеров. Специалисты говорят о росте числа утечек конфиденциальной информации и их печальных последствиях: потере времени, финансовых убытках и ударе по репутации. Кроме того, отмечается глобальная тенденция, заключающаяся в том, что бизнес начинает переключаться именно на проблему внутренней ИТ-безопасности.

В ходе исследования «The Insider Threat Benchmark Report - Strategies for Data Pro tection» аналитикам удалось выяснить, что за последний год многие поставщики и дис трибьюторы ИТ-систем качественно изменили номенклатуру предлагаемых решений. При этом увеличилась доля продуктов, предназначенных именно для борьбы с инсайдерами. Однако в то же самое время наиболее крупные ИТ-поставщики продолжают расширять свой традиционный ассортимент, сохраняя пропорции решений на прежнем уровне. Это говорит либо о недооценке потенциала соответствующей линейки продуктов, либо о малом текущем спросе. Тем не менее 41% американских респондентов уже внедрил в свою ИТ-инфраструктуру средства защиты, в той или иной мере решающие проблему инсайдеров.

Отметим, что российские заказчики могут воочию убедиться в том, что интерес к системам для борьбы с утечками и инсайдерами со стороны поставщиков и системных интеграторов сильно возрос. Например, «Лаборатория Касперского» выделила свой бизнес в сфере внутренней ИТ-безопасности в отдельную компанию - InfoWatch, а практически все российские системные интеграторы включили решения этой фирмы в свою продуктовую линейку. По словам Дениса Зенкина, директора по маркетингу компании InfoWatch, за 2005 год прибыль предприятия возросла на 120% и в 2006 году наблюдалась аналогичная картина. И это несмотря на то, что российские компании существенно отстают от американских в использовании систем для защиты от инсайдеров. Согласно исследованию «Внутренние ИТ-угрозы в России 2005», в ходе которого компания InfoWatch опросила более 300 отечественных организаций, лишь 2% респондентов применяют системы для борьбы с инсайдерами и утечками. Однако рост прибылей поставщиков однозначно указывает на то, что положение это постепенно меняется.

Кроме того, к системам для борьбы с инсайдерами совсем недавно проявила интерес еще одна крупная антивирусная компания - McAfee. В октябре 2006 года она купила израильскую фирму Onigma, чье единственное решение предназначено как раз для выявления и предотвращения утечек. Согласно пресс-релизу, McAfee интегрирует технологии Onigma в свое собственное решение и, таким образом, начнет экспансию на рынке решений внутренней ИТ-безопасности.

Не исключено, что в ближайшее время на рынке продуктов для защиты от утечек появится самая крупная в сфере ИТ-безопасности компания - Symantec. В целом можно смело утверждать, что включение в свой ассортимент продуктов для борьбы с инсайдерами является чрезвычайно перспективным направлением диверсификации для всех звеньев цепи дистрибьюции решений ИТ-безопасности.

Взгляд с другой стороны

Вернемся теперь к результатам исследования «The Insider Threat Benchmark Report - Strategies for Data Protection» и посмотрим на системы защиты от инсайдеров и утечек глазами заказчика. Все американские компании можно условно разделить на три неравные по количественному составу группы: отстающие (30%), середнячки (50%) и лидеры (20%). У отстающих предприятий показатели деятельности в целом ниже, чем средние по отрасли, а у лидеров соответственно выше. Оказывается, что абсолютно все успешные организации (100% респондентов) считают защиту конфиденциальных данных важнейшим направлением в деле борьбы с инсайдерами. Кроме того, лучшие компании значительно шире используют политики идентификации и разграничения доступа (75%). Характеристики различных групп в сфере внутренней ИТ-безопасности представлены на рисунке.

Из диаграмм видно, что лидирующие компании предпочитают рассматривать проект внедрения системы защиты от инсайдеров в качестве полноценной деловой задачи. При этом особое значение они придают комплексу сопроводительных услуг. Это позволяет построить максимально эффективную систему внутренней безопасности и не перекладывать нетипичные задачи на плечи собственных служащих. Кроме того, лучшие в своей отрасли предприятия стараются минимизировать человеческий фактор за счет использования полностью автоматизированных процессов. Наконец, лидеры во главу угла ставят интеграцию продуктов в единую и управляемую систему, поэтому ценят гибкость внедряемого решения для защиты от инсайдеров.

Попробуем оценить проблему внутренней безопасности в плане технологий (табл. 1). После изучения нескольких отраслей промышленности выяснилось, что основными используемыми технологиями являются: пароли, системы идентификации, биометрия, сканирование сетевого трафика и управление доступом пользователей к конфиденциальной информации.

Таблица 1. Технологии защиты безопасности: текущее состояние и прогноз

Ровно 50% из лучших по отраслям фирм использует сложные пароли, фильтрацию сетевого трафика и списки контроля доступа. Более того, компании намерены существенно наращивать применение именно этих технологий. Так, доля сложных паролей возрастет на 26% и достигнет 93%; популярность списков контроля доступа увеличится на 24% и доберется до отметки в 90%, а доля фильтрации сетевого трафика возрастет с 53 до 81%. Между тем использование ID-карт, несмотря на распространенность их в настоящее время, вряд ли можно считать популярным направлением. Лишь 13% респондентов планируют внедрить данную технологию в этом году.

Любопытно, что наиболее перспективными технологиями являются автоматический мониторинг доступа сотрудников к важным данным (ожидается рост до 72%) и классификация данных (с 42% в 2006 году до 86% в нынешнем). Здесь результаты исследования совпадают с мнением отечественных специалистов в области защиты информации. В аналитическом центре InfoWatch считают, что именно автоматическому мониторингу действий инсайдеров и классификации данных компании уделяли незаслуженно мало внимания в прошедшие годы. Между тем, без этого построить надежную систему защиты просто невозможно.

Далее, согласно опросу, те же самые 53%, которые используют фильтрацию трафика, считают, что одна только защита периметра недостаточна для обеспечения внутренней безопасности. Необходимо, помимо прочего, развивать виртуальные частные сети, чтобы не снижать уровень безопасности при коммуникациях с внешними партнерами.

Перечисленные технологии обеспечивают многоуровневый подход и позволяют повысить безопасность конфиденциальных данных. Однако, помимо технологической стороны, не стоит забывать и о банальной физической сохранности информации. Можно назвать немало примеров того, как важные документы попадали в руки злоумышленников после взлома офиса и кражи компьютерного оборудования. Более того, резервные ленты и мобильные носители с конфиденциальным содержимым зачастую теряются во время транспортировки или в командировках.

Защита от инсайдеров

В настоящее время отсутствует единая сложившаяся точка зрения на то, как регламентировать доступ пользователей. Это вынуждает организации обеспечивать централизованное управление данными в распределенной среде. Технологии могут сделать возможными управляемость, подотчетность и безопасность данных, но для этого требуется применять их должным образом. В свою очередь, методы использования зависят от специфики деятельности предприятия-заказчика. Следовательно, требуется провести глубокий и всесторонний анализ той ИТ-инфраструктуры, на которой предполагается разворачивать систему безопасности. Многие заказчики абсолютно справедливо поручают дело оценки и выбора технологий специально созданным группам, куда входят специалисты различного профиля.

Современные технологии и методы противодействия инсайдерам существенно разли чаются. Дело в том, что поставщики не могут предложить универсального средства от инсайдеров. Они предоставляют целый комплекс решений для определения отклонений, классификации данных по степени конфиденциальности и ограничению доступа.

Несмотря на то что только 51% компаний из числа опрошенных в ходе исследования считают, что комплексные решения для защиты от инсайдеров исключительно важны, оставшиеся 49% не оценивают их роль так высоко. Впрочем, значимость данного результата за ключается в том, что как минимум половина респондентов отдает предпочтение комплексным решениям. Это говорит о том, что они действительно озабочены данной проблемой и понимают важность совместных мер.

Кроме того, в некоторых отраслях участники обязаны в большей степени соблюдать конфиденциальность данных клиентов. Постоянно меняющееся законодательство на федеральном и региональном уровнях все больше внимания уделяет именно защите персональной информации (таким, как ф.и.о., дата рождения, домашний адрес, номера кредитных карт, медицинского полиса и др.).

Организации должны осознать важность законодательных распоряжений в области защиты личности. По мнению участников опроса, чтобы улучшить управление, требуется автоматизировать санкционированный доступ. Компании, не автоматизирующие списки контроля доступа, подготовку и классификацию данных, могут столкнуться с серьезными проблемами. Так, 78% респондентов считают защиту информации важнейшей причиной для построения защиты от инсайдеров. Итак, предприятия только начинают осознавать угрозу со стороны инсайдеров и в силу различных причин стараются преуменьшать значение внутренних инцидентов. Однако скрыть тенденцию роста опасности со стороны инсайдеров невозможно.

Проблемы на пути внедрения защиты от инсайдеров

Рассмотрим еще два интересных результата исследования. В табл. 2 приведены пять наиболее серьезных, по мнению респондентов, проблем, которые возникают при внедрении системы защиты от внутренних угроз, а также варианты их решения. Табл. 3 аналогична табл. 2 по структуре, но составлена на базе ответов респондентов, входящих в группу лидирующих компаний. Сравнивая полученные данные, легко заметить различия подхода к данной проблеме середнячков и наиболее успешных представителей бизнеса. Если для лидеров главной проблемой является наложение внедряемого решения на уже используемые технологии (75%), то для всех респондентов в целом - это ограниченность ИТ-ресурсов (44%). В ходе проведения исследования выяснилось, что продвинутые организации уже внедрили комплексную защиту своей ИТ-инфраструктуры и таким образом прикрыли собственно сеть, а также обезопасили себя на уровне приложений. Теперь эти компании ищут способы укрепления налаженной системы безопасности. Организации же, для которых основной является проблема огра ниченности ИТ-ресурсов, серьезно лимитированы в действиях. Это вызывает тревогу, поскольку экономия на безопасности может привести к гораздо большим потерям. Очевидно, что ИТ-службы, как и службы ИТ-безопасности, должны получать финансирование в полном объеме. Ведь они готовят базу, на которой будут успешно функционировать все остальные подразделения.

Таблица 2. Наиболее серьезные проблемы при внедрении систем защиты от инсайдеров
и их возможное решение (на базе всех респондентов)

Анализируя таблицы, можно также отметить следующий довольно интересный факт: персонал компаний-лидеров проявляет свое недовольство нововведениями намного чаще, чем служащие средних предприятий (50 против 38%). Впрочем, ничего удивительного в этом нет. В сфере ИТ-безопасности человеческий фактор составляет не менее половины проблемы. Если, к примеру, какая-либо организация позволяет контрактникам, партнерам или поставщикам пользоваться своей сетью, но при этом не заботится о процедурах регламентирования доступа к информации, то можно смело утверждать, что проблемы в этом направлении у нее возникнут обязательно.

Таблица 3. Наиболее серьезные проблемы при внедрении систем защиты от инсайдеров
и их возможное решение (на базе компаний-лидеров)

В целом отстающие компании и середняки, в отличие от лидеров, в меньшей степени используют автоматизацию и интеграцию решений, а кроме того, имеют в штате малоопытных работников. Все это сказывается на эффективности анализа процедур безопасности и толкования его результатов. Зачастую лишь внедрение автоматизированных процессов и повышение квалификации сотрудников ведет к преодолению человеческого фактора. По результатам исследования, около 25% лучших предприятий используют полностью автоматизированные системы. В то же время к промышленной можно отнести всего 9% случаев автоматизации.

Информационная защищенность повышается по мере использования новых технологий в соответствии с требованиями бизнеса. Непрерывное совершенствование систем защиты принесет несомненную пользу. Согласно исследованию, организации, внедрившие системы защиты от инсайдеров, получили в среднем следующий эффект:

• сократились жалобы и обращения в ИТ-подразделения и службу поддержки - на 3,5%;
• сократилось количество инцидентов ИТ-безопасности - на 13%;
• сократились затраты на рабочую силу в ИТ-подразделениях - на 17,5%.

Таким образом, аналитики приходят к выводу, что организации, которые занимаются лишь внешней защитой, обречены на неудачу. Действительно, обеспечение безопасности по периметру организации помогает отразить нападение хакеров, в то время как компаниям, внедрившим у себя системы защиты от утечек и инсайдеров, действительно удается уменьшить количество инцидентов и сократить расходы на ИТ.

Заключение

Исходя из результатов проведенных исследований и оценки ситуации напрашиваются следующие выводы. Во-первых, не существует единой технологии защиты от инсайдеров. Обеспечить безопасность должным образом может лишь комплекс мер. Разрозненные продукты, сколь бы хороши они ни были, наверняка не решат проблем, возникающих при построении всеобъемлющей защиты. Да, за крыть одно из направлений можно, но сложность заключается в том, что существует огромное количество различных угроз. Злоумышленники действуют различными методами, и как раз для того, чтобы устранить все возможные лазейки, требуется создать многоуровневую систему.

Во-вторых, ответственность за сохранность конфиденциальной информации нельзя возложить на одного человека или даже на подразделение. В этом направлении должны тесно взаимодействовать сотрудники ИТ-службы и отдела обеспечения ИТ-безопасности. Еще более эффективным способом является привлечение специалистов с богатым опытом именно в сфере защиты от утечек. Последние предлагают глубокий анализ существующей ситуации и предоставляют заказчику конкретные решения. Выстраивается надежная система, которую может обслуживать уже персонал компании при необходимой поддержке интегратора.

В-третьих, имеющиеся в организации данные требуется тщательно изучить и структурировать по степени конфиденциальности. Затем на основании этой классификации следует выстроить систему ограничения доступа. Пользователи не должны иметь доступ к тем данным, которые не нужны им для выполнения служебных обязанностей. Кроме того, необходимо периодически пересматривать права доступа для поддержания системы разграничения в актуальном состоянии.

В-четвертых, человеческий фактор является одним из критических в системе защиты информации. К сожалению, именно люди становятся самым слабым звеном цепи. Зачастую инсайдерами являются сотрудники, ответственные если не за защиту конфиденциальных сведений, то, как минимум, за сохранение конфиденциальности информации. По незнанию или рассеянности, со злым умыслом или без него, но именно они могут приносить значительный вред своим работодателям. Намного опаснее ситуация, когда инсайдером является человек из ИТ-подразделения или из службы ИТ-безопасности. Его полномочия, разумеется, гораздо шире, чем у большинства прочих сотрудников, и он обладает достаточными знаниями и возможностями, чтобы незаметно «слить» данные. Именно вследствие указанных причин для успешного ведения дел требуется использовать профессиональные системы мониторинга за действиями служащих. Они должны быть как можно более автоматизированными, не зависящими от человека, чтобы была возможность контролировать сотрудника. Программные решения и комплексы являются наиболее эффективным методом защиты от возросшей угрозы со стороны инсайдеров. Конечно, не стоит забывать и о методах работы с сотрудниками. Им следует рассказывать о необходимости соблюдения норм безопасности и требовать от них исполнения существующих директив по работе с конфиденциальной информацией. Однако только программно-аппаратные средства в состоянии предупредить возможные случаи внутреннего хищения.