На данный момент в информационной безопасности нет устоявшегося определения аудита. Вот лишь несколько формулировок, используемых специалистами: «Аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании» («Консалтинг и аудит в сфере ИТ 2004». CNews Analytics).

«Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности» («Аудит безопасности Intranet». С.А. Петренко. 2002 г.).

Таким образом, аудит в данном случае сводится к проверке системы информационной безопасности и сравнению результатов данной проверки с неким идеалом. Для различных видов аудита различается все три составляющие услуги аудита: средства и способы проверки, результат проверки и идеал, с которым сравнивается результат проверки.

Активный аудит

Одним из самых распространенных видов аудита является активный аудит. Это исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий). Зачастую компании-поставщики услуг активного аудита именуют его инструментальным анализом защищенности, чтобы отделить данный вид аудита от других.

Суть активного аудита состоит в том, что с помощью специального программного обеспечения (в том числе, с помощью систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании.

При осуществлении данного вида аудита на систему сетевой защиты моделируется как можно большее количество таких сетевых атак, которые может выполнить хакер. При этом аудитор искусственно ставится именно в те условия, в которых работает хакер, – ему предоставляется минимум информации, только та, которую можно раздобыть в открытых источниках. Естественно, атаки всего лишь моделируются и не оказывают какого-либо деструктивного воздействия на информационную систему. Их разнообразие зависит от используемых систем анализа защищенности и квалификации аудитора. Результатом активного аудита является информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации (информация, доступная любому потенциальному нарушителю) сети заказчика.

По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности информационной системы от действий «внешнего» злоумышленника при минимальных затратах на информационную безопасность.

Однако без проведения других видов аудита эти рекомендации могут оказаться недостаточными для создания «идеальной» системы сетевой защиты. Например, по результатам данного вида аудита нельзя сделать вывод о корректности, с точки зрения безопасности, проекта информационной системы.

Активный аудит – услуга, которая может и должна заказываться периодически. Выполнение активного аудита, например, раз в год, позволяет удостовериться, что уровень системы сетевой безопасности остается на прежнем уровне.

Активный аудит условно можно разделить на два вида: «внешний» активный аудит и «внутренний» активный аудит.

При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника. В данном случае проводятся следующие процедуры:

• определение доступных из внешних сетей IP-адресов заказчика;
• сканирование данных адресов с целью определения работающих сервисов и служб, определение назначения отсканированных хостов;
• определение версий сервисов и служб сканируемых хостов;
• изучение маршрутов прохождения трафика к хостам заказчика;
• сбор информации об ИС заказчика из открытых источников;
• анализ полученных данных с целью выявления уязвимостей.

«Внутренний» активный аудит по составу работ аналогичен «Внешнему», однако при его проведении с помощью специальных программных средств моделируются действия «внутреннего» злоумышленника.

Данное деление активного аудита на «внешний» и «внутренний» актуально для заказчика в следующих случаях:

• у заказчика существуют финансовые ограничения в приобретении услуг и продуктов по защите информации;
• модель злоумышленника, которую рассматривает заказчик, не включает «внутренних» злоумышленников;
• в компании заказчика расследуется факт обхода системы сетевой защиты.

Сопроводительные услуги

Иногда в ходе активного аудита заказчику предлагается ряд дополнительных услуг, напрямую связанных с оценкой состояния системы информационной безопасности, в частности — проведение специализированных исследований.

Зачастую организация в своей информационной системе использует специализированное программное обеспечение (ПО) собственной разработки, предназначенное для решения нестандартных задач (например, корпоративный информационный портал, различные бухгалтерские системы или системы документооборота). Подобные ПО уникальны, поэтому каких-либо готовых средств и технологий для анализа защищенности и отказоустойчивости данного ПО не существует. В данном случае проводятся специализированные исследования, направленные на оценку уровня защищенности конкретного ПО.

Еще один вид услуг, предлагаемых в ходе активного аудита, — исследование производительности и стабильности системы, или стресс-тестирование. Оно направлено на определение критических точек нагрузки, при которой система вследствие атаки на отказ в обслуживании или повышенной загруженности перестает адекватно реагировать на легитимные запросы пользователей.

Стресс-тест позволит выявить «узкие» места в процессе формирования и передачи информации и определить те условия, при которых нормальная работа системы невозможна. Тестирование включает в себя моделирование атак на отказ в обслуживании, пользовательских запросов к системе и общий анализ производительности.

Одной из самых «эффектных» услуг является тест на проникновение (Penetration Testing), который во многом похож на «внешний» активный аудит, но по своей сути аудитом не является.

Основная цель данного тестирование – демонстрация «успехов», которых может достигнуть хакер, действующий при текущем состоянии системы сетевой защита. Результаты данной услуги более наглядны, чем результаты аудита. Однако ей свойственны множество ограничений и особенностей. Например, особенность технического характера: заказчик информируется только о факте уязвимости системы сетевой защиты, в то время как в результатах «внешнего» активного аудита заказчику сообщается не только факт уязвимости сети, но и информация обо всех уязвимостях и способах их устранения.

Экспертный аудит

Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на следующем:

• требования, которые были предъявлены руководством в процессе проведения аудита;
• описание «идеальной» системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте.

При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями заказчика проводят следующие виды работ:

• сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития);
• сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ;
• определение точек ответственности систем, устройств и серверов ИС;
• формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.

Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей заказчика и заполнения ими специальных анкет.

Основная цель интервьюирования технических специалистов — сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.

Необходимо отметить, что при экспертном аудите безопасности информационной системы учитываются результаты предыдущих обследований (в том числе других аудиторов), выполняются обработка и анализ проектных решений и других рабочих материалов, касающихся вопросов создания информационной системы.

Ключевой этап экспертного аудита — анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы.

По результатам работ данного этапа предлагаются изменения (если они требуются) в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.

Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков ИС организации и составляется их диаграмма, где для каждого информационного потока указывается его ценность (в том числе ценность передаваемой информации) и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока.

На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.

Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.

В рамках экспертного аудита производится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков/подсистем ИС. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.

Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности, например:

• изменения (если они требуются) в существующей топологии сети и технологии обработки информации;
• рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;
• предложения по совершенствованию пакета организационно-распорядительных документов;
• предложения по этапам создания системы информационной безопасности;
• ориентировочные затраты на создание или совершенствование СОИБ (включая техническую поддержку и обучение персонала).

Аудит на соответствие стандартам

Суть данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере — при проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.

Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:

• степень соответствия проверяемой информационной системы выбранным стандартам;
• степень соответствия собственным внутренним требованиям компании в области информационной безопасности;
• количество и категории полученных несоответствий и замечаний;
• рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести её в соответствие с рассматриваемым стандартом;
• подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.

Ниже перечислены примеры стандартов, на соответствие которым проводится аудит системы информационной безопасности:

• существующие руководящие документы Гостехкомиссии:
  1. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (далее — РД для АС).
  2. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К).
  3. «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002 или «Общие критерии»).
• Зарубежные и международные стандарты:
  1. Международный стандарт ISO/IEC 17799 «Информационные технологии. Управление информационной безопасностью» (Information Technology — Information Security Management). На сегодняшний день является одним из самых распространенных и широко применяемым стандартом во всем мире.
  2. Международный стандарт WebTrust. Применим для подтверждения высокого уровня защищенности системы электронной коммерции и web-сервисов.

Причины проведения аудита на соответствие стандарту (и сертификации) можно условно разделить по степени обязательности данной услуги по отношению к компании: обязательная сертификация; сертификация, вызванная «внешними» объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация. Государственные организации, которые обрабатывают сведения, составляющие государственную тайну, в соответствии с российским законодательством обязаны проводить аттестацию информационной системы (во многом процедура аналогична сертификации). Однако такие организации чаще всего пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров.

Учитывая распространенности услуги аттестации и многолетнего опыта работы аттестационных центров, услуга аудита на соответствие РД для АС по трудозатратам аудитора, а, значит, и по стоимости, приравнивается к услуге аттестации, поэтому клиенту выгодно приобретать именно последнюю.

Среди государственных организаций (а также среди «полугосударственных» — организаций с большой долей уставного капитала, принадлежащего государству) велика доля тех, кто в соответствии с законодательством не обязан проводить аттестацию информационной системы. Для них аудит на соответствие стандартам более актуален. Чаще всего его проводит компания-интегратор, которая имеет большой опыт успешного взаимодействия с компанией-заказчиком. При необходимости в качестве субподрядчиков привлекаются аттестационные центры.

В последнее время все большее количество компаний рассматривают получение сертификата, подтверждающего высокий уровень информационной безопасности, как «козырь» в борьбе за крупного клиента или делового партнера. В этом случае целесообразно проведение аудита и последующей сертификации на соответствие тем стандартам, которые являются значимыми для клиента или делового партнера.

Иногда руководство компании проявляет инициативу по сертификации системы информационной безопасности. Для таких организаций важны не только защита собственных ресурсов, но и подтверждение со стороны независимого эксперта (в роли которого выступает компания-аудитор) высокого уровня защиты.

В заключение отметим, что при планировании проверки состояния системы информационной безопасности важно не только точно выбрать вид аудита, исходя из потребностей и возможностей компании, но и не ошибиться с выбором исполнителя.

Как уже было сказано, результаты любого вида аудита содержат рекомендации по модернизации системы обеспечения информационной безопасности.

Если аудит проводит консалтинговая компания, которая кроме консалтинговой деятельности занимается еще и разработкой собственных систем защиты информации, она, по понятным причинам, заинтересована в том, чтобы результаты аудита рекомендовали заказчику использовать её продукты.

Для того чтобы рекомендации на основе аудита были действительно объективными, необходимо, чтобы компания-аудитор была независима в выборе используемых систем защиты информации и имела большой опыт работы в области информационной безопасности.

В большинстве случаев, конечно достаточно просто обратиться к следующим структурам: охрана объектов

Об авторе: Роман Просянников, ведущий специалист ЗАО «АНДЭК»

Связанные записи

• Проблемы финансов решают фрилансом (14)
• Проблематика защиты от инсайдеров (0)
• Каких специалистов освободит кризис? (19)
• Кризис и кадры. Кому придётся искать работу? (6)
• Шипы по расписанию (4)

• Термин инсайдера везде дается без определения, как нечто само собой разумеющееся
• Понятие инсайдера и злоумышленника, находящегося внутри сети практически слились
• Рассказывают про угрозы инсайдеров, приводят примеры потерянных ноутбуков с информацией
• Говоря о инсайдерах сбиваются на тему обычных атак типа побора пароля, попытки воспользоваться чужим логином, взлом компьютера коллеги и т.п.

Обычно, наличие подобных несуразностей говорит либо о искреннем заблуждении/недопонимании авторами предмета и попытки скрыть это за красивым термином, или же сознательной манипуляции читателем.
Во главу угла темы инсайдеров ставиться желание бороться с ними всеми доступными средствами.
Кстати, сложившаяся ситуация немного напоминает эпопею борьбы со спамом, которая активно велась года два назад. Никто не отрицает, проблема спама есть. Но она в большей степени касается провайдеров, которые вынуждены хранить на своих серверах значительные объемы писем, чем корпоративных пользователей, однако многих почти заставили принять эту идею.
Как разобраться в предмете, понять и оценить риски, которые инсайдеры несут именно Вашему предприятию и выбрать действительно адекватные меры защиты?
Начать же предлагаю с самого главного, без чего нет смысла продолжать дальнейший разговор – с определения того явления, которое мы будем обсуждать, а именно — понятия термина «Инсайдер».

Термин «инсайдер»
Чтобы не заставлять читателя рыться в справочниках и словарях, я попробовал поискать определение этого термина в сети Интернет.
Первая же найденная ссылка порадовала своей полнотой. Понятие «инсайдер» определяется там как «член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер — это член группы, обладающий информацией, имеющейся только у этой группы».
Следующее определение, которое дал Интернет звучало так: «ИНСАЙДЕР (англ, insider, от inside — буквально внутри) — лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. Речь идет о должностных лицах, директорах, основных акционерах корпорации с широким владением акциями и их ближайших родственниках.»
Повторим еще раз: ключевыми словами в обоих определениях являются «имеющие доступ к информации». Уже эти определения позволяет переформулировать проблему «инсайдеров».
Итак, уже следует не валить все в одну кучу, а понять, что есть проблема внутреннего злоумышленника. При этом она делится на

• инсайдера, имеющего доступ к информации
• сотрудника, пытающегося такой доступ получить.

Будем считать, что термин «инсайдер» мы все теперь понимаем правильно.
Немаловажно, что в обоих найденных нами определениях звучало понятие информации.

Понятие «информации»

Понятие «Информация» по своей сути является крайне дискуссионным. В каждой области знания это понимается по своему. Это приводит к тому, что сами понятие многими начинает восприниматься интуитивно.
Но нам, для дальнейшего обсуждения, потребуется четкое понимание этого термина. Итак, предлагаю считать что Информация — это пояснение, научение, какое то сведение.
Предлагаю не смешивать понятие «информации» с понятием Данные — это представление фактов и идей в формализованном виде, пригодном для передачи и обработки в некотором информационном процессе.
Теперь, для конструктивного продолжения диалога, давайте окончательно разберемся с этими понятиями. Легче всего сделать это на примерах:

Надеюсь, что мне удалось продемонстрировать разницу между этими понятиями.
Понимать эту разницу просто необходимо хотя бы для того, чтобы понимать, что мы собираемся защищать (данные или информацию) и что для этого необходимо

Почему боятся инсайдеров

Итак. По нашим определениям можно понять, что инсайдер – это, обычно, являются директора и старшие менеджеры, а также владельцы компании.
Созданный сегодня образ инсайдера ассоциируется с тем, что инсайдеры

• выносят списки клиентов
• выносят документы
• выносят базы данных
• выносят информацию.

Все это, по их утверждениям, наносит компаниям значительный ущерб и неизбежно влекут потерю клиентов.
Кстати, практически нигде не мелькает угроза уничтожения или намеренного искажения данных… На это никто не обращает внимания или просто методов для защиты от этих угроз пока нет?
Но даже если повторять только самые популярные угрозы как мантру, становится страшно. И опасения действительно не напрасны: мировая статистика инцидентов говорит что и ущерб и потеря клиентов – реальны. Но важно помнить, что теперь мы научились разделять понятие инсайдера и обычного сотрудника.
Вот только давайте попробуем разобраться. У нас есть 4 варианта:

Задачи, которые мы можем поставить себе в борьбе с инсайдерами – просто формулируются:

• Соответствие требованиям нормативных актов и стандартов
• Сохранность информации
• Сохранность данных
• Выявление каналов утечки
• Доказательство непричастности

Но все ли они легко могут быть реализованы? И какие технические средства могут нам помочь?

Борьба с инсайдерами техническими средствами и ее результаты

Если компания просто хочет соответствовать определенным требованиям, которые к ней предъявляет государство или профессиональное сообщество, то задача сводится даже не к приобретению и внедрению любого средства защиты, а к грамотному документированию процессов обеспечения безопасности в организации.
Дальше мы подходим к наиболее интересной фазе – к борьбе с утечками.
По самому определению информации, которое мы дали, пресечь утечку информации – возможно только путями:

• Самоконтроля инсайдеров, дабы случайно не разгласить эту информацию
• Назначения на руководящие должности ответственных, проверенных, морально устойчивых людей
• Акцентирования внимания этих людей на том, что не вся информация предназначается для широкой публики.

К сожалению, эта проблема целиком лежит в области человеческого фактора. Печально, но с ней не всегда справляются даже самые лучшие спецслужбы.
С проблемной утечки данных (файлов, баз данных, печатных копий документов и т.п.) бороться можно. Но можно именно бороться. Победить эту проблему тоже нельзя, и вот почему. Как бы мы не ограничили доступ людей к информации:

• Человек может показать документ на мониторе/в распечатке коллеге, которому он не предназначен.
• Человек может забыть документ в принтере, в столовой, оставить без присмотра кабинет или кейс или сейф
• Человек может выписать с экрана на листочек
• Человек может зачитать по телефону или наговорить на диктофон
• Можно сфотографировать экран монитора на фотокамеру сотового телефона
• Человек в конце концов может просто запомнить содержания документа.

Кроме всего прочего, тот же ноутбук с данными может быть утерян или украден.А заодно и вместе со всеми ключами на тот случай, если данные там хранились в защищенном виде.
Решение проблем отслеживания каналов утечки — вот для решения этой задачи технические средства как раз могут создать почву: собрать полную статистику обращений к ресурсу, скоррелировать факт обращения, скажем, к файлу с отправкой этого же файла по почте и т.п. Единственная неприятность – технические средства могут дать слишком много информации, проверять и анализировать которую придется, все таки, именно людям. Т.е. еще раз: технические средства не дадут результата.
Если говорить о доказательстве непричастности, то возможность решить эту проблему техническими средствами – тоже под большим вопросом. Но причина этого даже больше политическая, чем техническая. Представьте: в один день выходит статья о том, что в компании ХХХ произошла утечка очередной базы данных. Журналисты на все лады муссируют эту тему, опрашивают экспертов по безопасности о причинах, вспоминают историю утечек, гадают о причинах этой и т.п. Сенсация… Ваши заявления о том, что компания непричастна, и информация утекла не от Вас – мало кого интересуют, а если их и опубликуют, то на следующий день, когда интерес к теме уже утихнет.
Кроме того, дать 100% гарантию, что утечка произошла не от вас – никто не сможет. Вы сможете только показать, как, в том числе и техническими средствами, вы заботитесь о их сохранности.

О чем не говорят борцы с инсайдерами

Любые средства защиты создают неудобства – это аксиома. Любые внедряемые средства защиты так или иначе надо обслуживать – закон жизни. Т.е. установить средство защиты и не следить за тем, какие результаты оно выдает – глупо.
Теперь о результатах.
Представьте себе, что у вас сеть порядка 1000 компьютеров, на каждом из которых хоть раз в день в USB порт втыкают флешку/мобильник/фотоаппарат. Значит Вы ежедневно вынуждены анализировать минимум 1000 событий, связанных с использованием этих устройств. Не думаю, что терпения хватит больше чем на 2 дня.
Решение запретить все – тоже не всегда самое правильное. Через несколько минут начальник спросит, почему не читается его флешка, а сотрудник отдела рекламы будет спрашивать о том, как теперь ему передавать в типографию макеты листовок и т.п.
Можно пытаться говорить, что если мы контролируем, скажем, все обращения к файлу с данными, то он защищен. По крайней мере мы сможем найти крайнего, кто этот файл разгласил. Это так, если мы схватили его за руку, например при попытке переслать файл по почте. В противном случае – это похоже на самообман.
Если доступ к файлу имеют все кому не лень, то под подозрение в первую очередь попадут те, кому он не нужен. Но никаких гарантий тут нет, и без бывалого оперативника мы не разберемся
Если доступ к файлу был разграничен, вы узнаете, что информацией пользовались те, кто к ней допущен... Это ценно, но, как бы сказать, бесполезно. Можно выявить некоторые особенности: например, кто-то обратился к файлу посреди ночи. Наверное это необычно, но еще не о чем не говорит, особенно если хозяин учетной записи не отрицает факта обращения.
Говоря о контроле, надо понимать, что от инсайдера мы не защитимся, а от сотрудника этот файл должен быть закрыт.

Так слежение или разграничение

Золотое, и потому невыполняемое правило: внедрять средства защиты надо в соответствии с политиками безопасности.
Конечно неплохо, что внедрение системы контроля электронной почты подвигло организацию к тому, чтобы разобраться, что же кому можно пересылать, какую информацию следует считать конфиденциальной.
Но если бы представление о том, что можно а что нельзя было сформировано заранее, компания могла бы подобрать более удовлетворяющее ее решение, если вообще согласилась бы с тем, что ей это средство необходимо.
Но и это еще не все.
Важно, чтобы люди, работающие в организации и отвечающие за ее безопасность решили для себя раз и навсегда, что им нужнее и проще:

• Хранить все данные в общей куче и пытаться найти того, кто ее отослал за пределы организации
• Разграничить доступ к данным так, чтобы они были доступны только тем кому они нужны.

Первый вариант – зрелищен, демонстративен. Все видят, что вот специалисты отдела безопасности ползают на карачках и заклеивают USB порты. А сегодня не работает почта – внедряют новую систему контроля.
Второй путь – это кропотливая работа по анализу того, что кому нужно, трудоемкие настройки механизмов разграничения доступа и т.п.
Каждый выбирает свой путь сам, но первый – больше напоминает поиск монетки под фонарем: ее там ищут не потому что там потеряли, а потому что там светлее.

Лукавая статистика инцидентов

Если уж какая тема начинает разрабатываться профессионалами пера, то в кучу начинает валиться все.
Хотелось бы отметить что никаким образом под понятие «угрозы инсайдеров» не подпадают, и следовательно техническими средствами контроля за информацией не блокируются:

• Потери ноутбуков, флешек и т.п. – это халатность.
• Кражи ноутбуков, компьютеров, винчестеров с резервными копиями – это что-то сродни взлома
• Утечка информации от действия вирусов
• Утечки информации при взломе сети, пусть даже сотрудником

К инсайдерской угрозе не относятся и такие случаи, как утечка базы клиентов вместе с директором по продажам.
Можно отобрать у него на выходе его телефонную книжку, но как отобрать сложившиеся отношения с заказчиком, годы совместной учебы в институте и т.п.?
Важно не позволять себя втянуть в решение проблемы, которой нет, или которая не решается принципиально.

Выводы

Сделать какой то конкретный вывод по проблеме нельзя. Правда жизни в том, что проблем, связанных с инсайдерами, очень много. Некоторые специалисты по безопасности, как это не прискорбно, порой ограничены во взглядах на ту или иную проблему именно в силу своего профессионализма.
Пример: информация для них – это файлы и базы данных (первая ошибка – путаница понятий данных и информации). И он начинает бороться с этими утечками как может: опять же отказ от отчуждаемых носителей, контроль почты, контроль за числом печатных копий документа и постановка их на учет, проверка портфелей на выходе из здания и еще и еще… При этом, настоящий инсайдер, который, к слову, часто в курсе этих средств контроля, воспользуется для отправки документа факсом.
Так может прежде чем кидаться в омут борьбы с проблемой, стоит оценить эту проблему, сравнить ее с другими и сделать более обоснованный выбор?

Источник — НИП «Информзащита»

Связанные записи

• Виды аудита информационной безопасности (0)
• Проблемы финансов решают фрилансом (14)
• Мобильные глушилки (0)
• Шипы по расписанию (4)
• Создатели мирового кризиса. Часть 2 (0)

Информация с точки зрения каждого из ее собственников может иметь несколько уровней значимости, важности, ценности, что предусматривает соответственно наличие нескольких уровней ее конфиденциальности (от лат. confidentia -доверие). Будем рассматривать значимость конфиденциальной информации в двух уровнях: первый назовем «важным» и обозначим «В», второй — «весьма важным» и обозначим «ВВ». Наличие разных уровней конфиденциальности информации (В и ВВ) предполагает различную степень обеспечения каждого из свойств безопасности информации: конфиденциальность, целостность и доступность. Далее мы будем говорить только о различных степенях обеспечения конфиденциальности. Ими могут являться: для ВВ-информации — скрытие признака обработки сообщения, а для В-информации — скрытие ее смысла (содержания).
При этом скрытие смысла сообщения означает, что злоумышленник может фиксировать циркуляцию конфиденциальных сообщений (по электромагнитному, акустическому и другим каналам), но не может разобрать в шумах (акустическом, электромагнитном и др.) их содержание.
Скрытие признака сообщения означает, что злоумышленник не может зафиксировать сам факт циркуляции конфиденциальных сообщений, скрытых в шумах (но может предполагать с определенной вероятностью).

Критерии защиты речевых сообщений.

Для количественной оценки необходимо выработать критерий, устанавливающий соотношение между уровнем излучаемого в пространство сигнала (электромагнитного или акустического) и уровнем шума на грани контролируемой зоны. Критерием оценки безопасности речевых сообщений при их распространении по акустическому каналу может являться характеристика разборчивости речи, определяемая соотношением
Е6 = Вр — Вш,
где Вр и Вш — соответственно средние спектральные уровни речи и шума за ограждающей конструкцией.
Для того чтобы речь была неразборчива, должно выполняться соотношение Е6 = -10 дБ в спектральной полосе частот со среднегеометрическим значением 1000 Гц. Именно это может служить критерием безопасности речевых сообщений. Уровень, при котором выполняется условие невозможности распознавания признака речи, на 3 дБ ниже, чем при распознании ее смысла, т.е. Е6 = -13 дБ.
Исходя из этих критериев автор разработал простую методику оценки безопасности речевых конфиденциальных сообщений, распространяющихся по акустическому каналу. Она основана на расчете разборчивости в каждой октавной полосе речевого диапазона, при которой невозможно будет определить смысл сообщения или его признак. Процедуры по оценке безопасности речевых конфиденциальных сообщений, циркулирующих в защищаемом помещении, разработаны как для однородных, так и неоднородных перегородок (с окном или дверью).

Случай использования однородной перегородки.

Исходными данными для расчетов являются характеристики материала и толщины ограждающей конструкции (табл. 1), на основании которых определяется коэффициент звукоизоляции в октавных полосах. Уровень шумов в смежном помещении определяется из тех соображений, что они не должны превышать уровней предельных спектров шумов (ПСШ), соответствующих санитарным нормам (табл. 2).
Таблица 1. Звукоизолирующие способности некоторых материалов и конструкций

Таблица 2. Уровни интенсивности речи в октавных полосах и некоторые значения предельных спектров шумов

Примечание:
ПСШ-25 — кабинет при одном работающем, ПСШ-30 — библиотека, ПСШ-35 — комната для сна и отдыха, ПСШ-40 — коридор, ПСШ-45 — кабинет для умственной работы, ПСШ-50 — кабинет для речевой и телефонной связи, ПСШ-55 — кабинет для конторского труда.
Уровень речевого сигнала (дБ) за звукоизолирующей однородной перегородкой определяется из выражения
Вр2 = Вp1 — Qпер,
где Вp2 — уровень речевого сигнала за звукоизолирующей перегородкой; Bp1 — уровень речевого сигнала в контролируемом помещении; Qпep – звукоизолирующая способность ограждающей конструкции. Отметим, что в октавных полосах со среднегеометрическими частотами ниже 1000 Гц коэффициент звукоизоляции ограждающих конструкций принимается (из физических соображений) на 6 дБ ниже, а в октавных полосах со среднегеометрическими частотами выше 4000 Гц коэффициент звукоизоляции ограждающих конструкций принимается на 6 дБ выше.
Случай использования неоднородной перегородки
При рассмотрении в качестве ограждающей конструкции стены с окном учитываются такие параметры, как количество стекол, толщина стекла, расстояние между стеклами, отношение в процентах площади окна к площади ограждающей конструкции, толщина глухой части ограждающей конструкции и ее материал, характеристика улицы (величина шума), на которую выходит окно.
Если в качестве ограждающей конструкции рассматриваются стены с дверью, то учитываются следующие факторы:

• одинарная дверь или двойная;
• расстояние между ними;
• отношение в процентах площади двери к площади всей ограждающей конструкции;
• толщина глухой части ограждающей конструкции и ее материал;
• вид смежного помещения, куда выходит дверь.

Уровень речевого сигнала за неоднородной перегородкой определяется так же, как и в предыдущем случае, но звукоизолирующая способность требует более сложных вычислений:

где Q1 — величина звукоизоляции глухой части перегородки (без учета окна или двери); Q0 — величина звукоизоляции двери или окна; S1 — площадь глухой части стены; S0 — площадь двери или окна.
Используя методику для множества экспертных заключений, автор нашел целый ряд практических решений по существенному увеличению защиты конфиденциальной информации.
Так, для улучшения звукоизолирующих свойств необходимо следующее:

• перегородки должны быть слоистыми, материалы слоев подобраны с резко отличающимися акустическими характеристиками (например, бетон-поролон), и массивными для уменьшения мембранного переноса;
• двери желательно делать двойными с воздушной прослойкой между ними и уплотняющими прокладками;
• окна лучше делать с двойным остеклением, применяя звукопоглощающий материал и увеличивая расстояние между стеклами для повышения звукоизоляции;
• вентиляционные отверстия во время ведения конфиденциальных разговоров следует перекрывать звукоизолирующими заслонками, которые лучше изготавливать из материалов с различными акустическими параметрами. При этом нужно стремиться достичь уровня звукоизоляции глухой стены.

Применение разработанной методики в несколько десятков раз уменьшает стоимость работ по определению акустической защищенности помещений, и это особенно важно для небольших компаний, где понимают всю важность защиты конфиденциальной информации, но не имеют средств для применения дорогостоящей измерительной аппаратуры.

Об авторе: С.В. Волобуев, к.т.н., член-корреспондент РАЕН

Источник — daily.sec.ru

Связанные записи

• Проблематика защиты от инсайдеров (0)
• Виды аудита информационной безопасности (0)
• Эксперты: Власти России надеются на скорое завершение кризиса, но в 2009 году Россию ожидает стагфляция, рост безработицы и дальнейшее падение цен на нефть (0)
• Создатели мирового кризиса. Часть 2 (0)
• Прогноз Минэкономразвития повысил доллар до 33 рублей (0)

Если раньше единственным способом прекратить безобразие было обругать эгоистичного мобиловладельца, то сейчас все чаще и возникает мысль о специальных устройствах, способных кардинально решить проблему. Итак, если вам надоело проводить рабочие встречи, совещания или семинары под перезвоны мобильников, или вы опасаетесь, что любая трубка может быть использована в качестве «радиожучка» (прощай, конфиденциальность!), придется воспользоваться мобильной глушилкой, например Mobile Jammers, предназначенной для блокировки мобильных телефонов.

За внедрение подобных устройств в жизнь выступают владельцы и посетители театров, концертных залов, ресторанов и других учреждений, где звонки мобильного телефона способны причинить неудобство. Надо сказать, что их пожелания были услышаны. Так, к примеру, начиная с прошлого года канадская компания Industry Canada проводит консультации по вопросу блокировки сотовых телефонов в различных общественных местах — от экзаменационных комнат до электростанций, где использование сотовых телефонов запрещено в целях безопасности.

Огромен спрос на глушилки и в среднеазиатских государствах, где они используются для блокировки звонков в храмах и мечетях. Во Франции рассматривается закон, разрешающий установку мобильных глушилок в библиотеках и музеях.

Производители трубок и операторы сотовой связи, наоборот, выступают против идеи блокировки, мотивируя это тем, что от возможности позвонить, может зависеть жизнь и здоровье человека. Так, согласно официальной статистике, в 2001 году в канадскую Службу спасения «911» с мобильных телефонов поступило около 3 млн. звонков. Хотя наверняка легализация мобильных глушилок гораздо больше беспокоит операторов с точки зрения снижения их доходов.

В России использование любых радиоизлучающих устройств без разрешения на эксплуатацию, выданного УГСН, категорически запрещено. Получить разрешение на использование мобильных глушилок могут пока только спецслужбы, использующие их преимущественно в борьбе с террористами. Мощные генераторы, используемые специалистами по обезвреживанию взрывчатых веществ, блокируют сотовые телефоны, применяемые для дистанционного подрыва бомб.

Что касается самих глушилок, то они бывают двух типов. К первой группе относятся устройства, подавляющие все сигналы в определенной зоне:

— Генераторы шума, которые создают радиочастотные помехи и не позволяют телефону связаться с базовой станцией (кстати, самое распространенное сегодня решение).

Дальность подавления составляет от 4 — 25 до 40 — 50 метров — в зависимости от расположения помещения по отношению к базовой станции и мощности генератора помех. Такой генератор должен создавать шумовой сигнал только в диапазоне работы средств мобильной связи и не создавать помех другим волновым устройствам.

Существуют модели с функцией обнаружения, которая реализуется при помощи приемника сигналов сотовой связи, включающего генератор только при попытке передать сигнал.

— Специальные экранирующие электромагнитные панели (Faraday Cage), разработка японского инженера Хайдео Ока (Hideo Oka), использующие пассивное блокирование сигналов сотовой связи. Деревянные панели с тонкими пластинами из никель — цинкового сплава блокируют до 97% излучения радиоволн.

Такие панели уже поступили в продажу в США и другие страны, где запрещено использование активных генераторов шума. Действительно, пока не существует норм на сертификацию зданий, обеспечивающих необходимый уровень пропускной способности сигнала.

Во вторую группу входят приборы, используемые с целью заставить несознательных граждан соблюдать элементарные правила приличия:

— Так называемые «умные» устройства, использующие функцию обнаружения телефона и передающие сигналы оператору сотовой связи, информируя его о том, что данный телефон находится в «тихой» зоне. Оператор автоматически запрещает входящие вызовы до тех пор, пока телефон не выйдет из этой зоны.

— Маяки, использующие технологию Bluetooth или IR — порт, которые автоматически переводят любой совместимый телефон в режим «молчания».

В интернет — магазинах представлен целый спектр генераторов помех. Мы упомянем лишь британскую глушилку SureSafe, предназначенную для массового пользователя. Внешне она напоминает обычный сотовый телефон, весит всего 200 грамм и обеспечивает зону блокировки до 15 метров. Устройство предназначено для блокировки аппаратов сотовой связи в автомобилях или в необорудованных помещениях. Излучает прибор гораздо меньше, чем обычный мобильник, поэтому абсолютно безвреден. Устройство автономное, в комплекте поставляется зарядка и никелевая батарея, которой, увы, хватает только на несколько часов работы. Есть и еще одно «но»: к сожалению, аппарат генерирует помехи только в частотах GSM 900/1800. Продавать глушилку будут лишь в тех странах, где использование подобных устройств разрешено. В Сети также можно найти генераторы помех российского, израильского и даже украинского производства. Между собой модели различаются только мощностью генератора, а также диапазоном подавляемого спектра. Нужно признать, что стоимость отечественных аналогов пока на порядок выше зарубежных. Так, за российское устройство компании «Радиосервис» придется выложить от 2000 долл.

В принципе любой человек, обладающий достаточной квалификацией, может собрать глушилку самостоятельно. Схема очень проста: вам потребуется одна микросхема (можно использовать 74LS04, К555ЛН1, КР1533ЛН1 или КР531ЛН1), абсолютно любой конденсатор, батарея и антенна (кусок провода длиной 20 — 30 см). Устройство заглушает диапазон частот примерно в 500 МГ.
Дальность действия — 30 метров, а стоимость — всего несколько долларов.

Связанные записи

• Проблематика защиты от инсайдеров (0)
• Ученый предсказал свиной грипп (4)
• Проблемы финансов решают фрилансом (14)
• Принцип работы репитеров (0)
• Мобильная связь. Общие сведения. GSM (0)