Социальная инженерия

3.2.4.1 Набор правил, который поможет подойти к решении кадрового вопроса грамотно

1. Необходимо наблюдать за сотрудниками на всех стадиях их развития в организации. Любой сотрудник в организации всегда проходит три стадии развития:

· устройство на работу;

· этап работы;

· увольнение.

При приеме сотрудника на работу необходимо собрать о нем как можно больше сведений, с целью прогноза того, как он поведет себя в той или иной ситуации. Такую проверку часто и проще всего сделать с помощью стандартных психологических тестов. Необходимо определить, не принадлежит ли кандидат на должность к одной из категорий "неудобных сотрудников" (см. 2.7.8). Сегодня, достаточно важно иметь в составе работников кадрового отдела штатного психолога или социолога.

Как правило, за сотрудником наблюдают при приеме его на работу. Реже, в период его этапа работы на предприятии. И очень редко проводится полноценная работа с увольняющимся сотрудником, которую представляют наибольшую угроза для предприятия. Человек может уходить с затаенным злом на руководство, может быть скомпрометирован конкурентом и переходить к нему, но с нужными данными (базой клиентов, маркетинговые технологии) конкуренту.

2. Нельзя допускайте на своем предприятии существования алкогольно-сексуальных групп.

3. Создавать атмосферу команды и поощрять лояльность сотрудников к компании, которые являются наилучшей защитой предприятия.

Т.е. человек доволен своей работой, атмосферой, занимаемой должностью в моральном и материальном плане он не обделен и это должно быть его собственное мнение.

С учетом условного деления групп сотрудников на предприятии, стоит стремиться подбирать всех сотрудников, чтобы они относились к первой и второй группе (см. 2.7.8). И избегать групп риска т.е. третье и четвертой групп.

4. Подбирать сотрудников таким образом, чтобы в подразделении они отвечали соответствующему способу руководства - командному или управленческому. Командный способ - это пример солдат - сержант. На счет управленческого способа хорошо сказал В. Тарасова В. К. Тарасов -- директор Таллиннской школы менеджеров, автор многих книг по вопросам менеджмента, управленческой борьбы и др., что «идеальный руководитель в этом смысле -- вообще с виду бездействующий. Как кажется бездействующим человек, управляющий стремительно несущимся парусником, по сравнению с гребцом на весельной лодке».

5. Не создавайте незаменимых сотрудников

Достаточно часто, почувствовав свою значимость, ряд сотрудников пытаются шантажировать руководителя. Более того, конкуренты как правило в курсе, какой персонал в составе компании и приложат усилия, чтобы ключевых сотрудников стало в компании меньше.

6. Геймеры на работе, это всегда потенциальный риск. Внимательно стоит приглядываться к таким сотрудникам и только если он очень хороший профессионал, можно подумать о его трудоустройстве в компанию.

7. Не стоит принимать на ответственные должности романтических или психологически неуравновешенных лиц, даже если они хорошие специалисты. Потенциально, данный тип людей можно шантажировать.

8. Ни один из сотрудников организации не должен знать больше, чем ему полагается по должности.

3.2.4.2 Подход к персонифицированной оценке рисков на основе определения лояльности

В большинстве построений, связанных с моделированием угроз и анализом рисков информационной безопасности, фигурируют два параметра интегрированных оценок: критичность информационного ресурса, на который направлена угроза, и эффективность средств защиты этого ресурса. Все интегрированные оценки «опасно - неопасно» в таком случае размещаются в плоском квадранте с этими координатами. Если принять мнение о принципиальной ограниченности средств защиты от внутренних угроз единственным фактором, препятствующим их реализации, является система мотивов пользователей, которую принято называть «лояльностью персонала». Под этим понятием следует подразумевать не только морально-этические качества сотрудников или механизмы воздействия на эти качества, но и организационные мероприятия, непосредственно формирующие мотивы - например, осознание неизбежности наказания за нанесенный ущерб, а также в некоторой степени профессиональная грамотность, препятствующая «нанесению вреда без умысла». Поэтому термину «лояльность персонала» соответствует вся совокупность свойств субъекта не реализовывать предоставленные ему возможности по нанесению ущерба информационно-технологическими способами. Пространство интегрированных оценок (и, соответственно, решений) теперь становится трехмерным - добавляется координата «лояльность персонала».

Оценка лояльности в целом для коллектива в рамках решения задач информационной безопасности малопригодна потому, что угрозы осуществляют конкретные люди, и именно их персональная лояльность играет роль при реализации предоставленных возможностей нанести ущерб. Поэтому оценке подлежит персональная лояльность, которая учитывается при формировании решений информационной безопасности (выбор, конфигурация, настройка организационно-технологических и программно-технических средств), т.е. защита данных от внутренних угроз становится персонально ориентированной.

Таким образом, потенциальные источники угроз известны, и их можно непосредственно изучать и оценивать.

Обсуждая общую схему персонификации защиты от внутренних угроз в первую очередь возникают два базовых вопроса: как оценивать персональную лояльность в терминах информационной безопасности и как использовать результаты такой оценки при формировании решений по защите данных?

Многолетний опыт работы специалистов по разбору различных служебных происшествий [29] показывает, что почти 80 % серьезных нелояльных действий совершаются людьми, в характере которых выражены психологические особенности вполне определенных типов («возбудимый», «демонстративный», «застревающий» и «гипертимический темперамент» в соответствии с типологией Карла Леонгарда [30]) и их сочетаний. Кроме того, лишь в 7 % случаев у виновных не были выявлены психологические качества ни одного из этих типов.

Несложная статистическая обработка результатов этих работ, выполненная коллективом с участием автора, позволила установить уверенную корреляцию между наличием психологических особенностей конкретного сочетания «опасных» типов и принадлежностью лица, совершившего нелояльный поступок, к тому или иному классу источника внутренних угроз.

Таким образом, выявляя психологические особенности и определяя персональные типы (то есть проводя социально-психологическую идентификацию персонала), можно в случае, если эти типы относятся к категории «опасных» т.е. относятся к группе «риска», высказать приемлемо правдоподобную гипотезу о степени и характере потенциала персоны как источника внутренних угроз. Сегодня существует много методов социально-психологической идентификации, от специальной техники проведения бесед и анализа почерка до психофизиологического тестирования и проверки на полиграфе.

Разумеется, результаты социально-психологического тестирования нельзя использовать для принятия решений, и тем более, организационно изолировать сотрудников, отнесенных к потенциальной группе риска. Часто сотрудники отнесенные к потенциально «опасным» типам именно с этими качествами, являются профессионалами в исполняемой ими работе. «Опасность» этих типов всего лишь потенциальная, и конкретное нелояльное действие зачастую может быть невольно спровоцированной реакцией.

Следующей (после социально-психологической идентификации) задачей является соответствия между уровнем лояльности и рациональным составом персонально ориентированных методов и средств защиты информационных ресурсов различной критичности. В терминах информационной безопасности, это означает создание персонифицированных политик безопасности, нотации которых включают указание на степень лояльности, в пределах которой применяется данное положение политики. Разумеется, персонификация политик безопасности условна (не буквальная): два сотрудника с одинаковыми ролями и уровнем лояльности будут снабжаться одинаковыми методами и средствами защиты.

3.2.5 Внутрикорпоративная нормативная база

Не менее сложный и трудоемкий вопрос, как и составление социально-психологического портрета сотрудников. И тем не менее, составление внутрикорпоративной нормативной базы позволит предприятию упредить многие как внешние, так и внутренние атаки. Позволит сократить в дальнейшем время на обучение вновь прибывшего сотрудника, а также проводить более эффективное обучение персонала. Хаос в обращении конфиденциальной информации и ее строгий учет, контроль и аудит должны разделять четкие положения, определяющие права и обязанности пользователей и администраторов, регламенты обработки, хранения и обмена данными, политику доступа.

Принято выделять три основных уровня применения нормативной базы в компании.

Уровень предприятия. Начиная с этого уровня, необходимо распространить организационную составляющую системы защиты конфиденциальной информации на все остальные уровни. Как правило, здесь задействованы все ключевые отделы организации под постоянной, непосредственной протекцией и мотивацией высшего руководства. Практика показывает, что без выполнения последнего требования любое самое благое начинание умирать в текучке и спускается на тормозах. Вполне очевидно, что у ИТ-, HR-, ИБ-отделов и потенциальные угрозы со стороны инсайдеров если рассмотреть порядок вещей, их не должны беспокоить. По хорошему, это вопрос первой линии оборон, т.е. грамотно составленные требования по каждой единицы персонала занимаемую свою должность в компании с дистрибьцией ответственности за эту единицу непосредственного руководителя. Далее, это грамотно составленные требования на вакансию руководителя подразделения и профессионализм HR-персонала, психологов и службы безопасности по выявлению потенциального нарушителя и соответствия уровня соискателя уровню занимаемой должности, плюс компьютерная грамотность. Бывает, намного важнее выполнить план или освоить бюджет для выше обозначенных подразделений, нежели заниматься разведкой/конразведкой у себя в компании. Топ-менеджмент часто понимает последствие одной утечки, и имеет рычаги управления, дабы этого не произошло.

Самым важным нормативным актом уровня предприятия в процессе внедрения системы защиты конфиденциальной информации является положение о конфиденциальности электронной и в бумажном виде, информации. Это высокоуровневый документ, описывающий корпоративную парадигму отношения к данным. Он опирается непосредственно на классификацию информации, которая выделяет строго конфиденциальные, конфиденциальные и неконфиденциальные документы и данные. Неотъемлемой частью этого уровня являются трудовые соглашения и должностные инструкции, описывающие права и обязанности сотрудников. Важный момент, который должен найти отражение в этих документах, состоит в отчуждении всей информации с рабочего места сотрудников в пользу компании. С одной стороны, это означает свободу действий организации в отношении просмотра, фильтрации, задержки и других корпоративных данных, а также систематизацию ролей различных служащих, а с другой -- защиту компании от возможных встречных исков со стороны обнаруженных инсайдеров по обвинению в нарушении их конституционных прав на тайну переписки.

Уровень информационной системы. На этом уровне важно определить регламент пользования корпоративной информационной системой, регламент пользования приложениями и требования к системному ландшафту. Данные документы закрепляют состояние информационной системы, позволяют контролировать запуск потенциально опасных приложений и достичь соответствия корпоративной сети специфическим требованиям для контроля и аудита конфиденциальной информации. Как правило, на этом этапе составляется один полновесный документ, называемый «Концепция управления корпоративной информационной системой ». Весь набор перечислять не имеет смысла, поскольку он емкий и неплохо описан в международных стандартах.

Уровень информационной безопасности. На данном уровне необходимо определить поведенческую модель нарушителя, политику доступа к информации и политику работы с информацией. На этом уровне происходит непосредственная работа по контролю и аудиту действий пользователей. Между каждым пользователем, группами пользователей и каждым документом создаются отношения прав, внедряются механизмы журнализации и предотвращения несанкционированных действий. Наконец, на этом этапе компания узнает, с кем она борется, создавая портрет нарушителя. Все это входит в один пакет документов «Корпоративную политику информационной безопасности».

3.2.6 Хранение физических носителей и архивация данных

В зависимости от масштаба предприятия и сферы его деятельности, возникает необходимость осуществлять резервное копирование данных и работать с накапливаемым архивом. Для малой и средней компании, не занимающейся вопросами телекоммуникаций (оператор связи, интернет-провайдер и т.д.) или в банковской сфере, например, этот вопрос может быть менее актуален в силу небольших накоплений объемов информации и регламентов доступа к таким архивам, которые возлагают вопрос на ИТ-службу. Для ряда компаний, это значительный объем данных и дополнительный канал утечки информации, т.к. существует возможность физического выноса носителей с резервными копиями. Сегодня используется несколько способов защиты этого канала утечки. Первый -- анонимизация носителей, то есть сотрудники, имеющие доступ к носителям, не знают, на каком носителе какая информация записана, они управляют только анонимными номерами носителей. Те сотрудники, которые знают, на каком носителе находится какая информация, в свою очередь, не допускаются к хранилищу носителей.

Второй способ -- шифрование информации при резервном копировании, поскольку даже вынесенная и скопированная информация потребует некоторого времени и большой вычислительной мощности на расшифровку. Что часто бывает необоснованно дорогой затеей и ценность информации по происшествию затраченного времени на её расшифровку, окажется невыгодной в виду потери актуальности. Допустимы в использовании все новшества технологий, от режимнно-технических, обеспечивающих доступ к хранилищу, так и внедрение радиомаяков и меток использующие технологии RFID и GPS сигнализирующие неавторизованный доступ к носителю или архиву, посылая сигнал о местонахождении нарушителя.

3.2.7 Система мониторинга работы с конфиденциальной информацией

Развернув систему мониторинга работы с конфиденциальной информацией, кроме наращивания функционала и аналитических возможностей, возможно упреждать возможные атаки и утечки.

Первое направление -- интеграция систем защиты от внутренних и внешних угроз. Инциденты последних лет показывают, что существует распределение ролей между внутренними и внешними злоумышленниками, поэтому объединение информации из систем мониторинга внешних и внутренних угроз позволит обнаруживать факты таких комбинированных атак. Одной из точек соприкосновения внешней и внутренней безопасности является управление правами доступа, особенно в контексте симуляции нелояльными сотрудниками и саботажниками производственной необходимости для увеличения прав. Любые заявки на получение доступа к ресурсам, не предусмотренным служебными обязанностями, должны немедленно приводить в действие механизм аудита работы с этой информацией. Доступ к ресурсам должен открываться только при полной легализации пользователя, с определением его целей и намерений, как правило, за подписью высшего руководства компании (генерального директора, первого его помощника), если информация является критически важной (например база данных клиентов компании).

Еще одно направление развития системы мониторинга внутренних инцидентов с конфиденциальной информацией -- построение системы предотвращения утечек. Алгоритм работы такой системы тот же, что и в решениях по предотвращению вторжений. Сначала строится модель нарушителя, по ней формируется «сигнатура нарушения», то есть последовательность действий нарушителя. Если несколько действий пользователя совпали с сигнатурой нарушения, прогнозируется следующий шаг пользователя, если и он совпадает с сигнатурой -- подается сигнал тревоги. Например, был открыт конфиденциальный документ, часть его была выделена и скопирована в буфер, затем был создан новый документ, и в него было скопировано содержимое буфера. Система предполагает: если дальше новый документ будет сохранен без метки «конфиденциально» -- это попытка похищения. Еще не вставлен USB-диск, не сформировано письмо, а система информирует офицера информационной безопасности, который принимает решение: остановить сотрудника или проследить, куда уйдет информация.

Распространенный случай мошенничества в качестве примера. Системному администратору поступила заявка от начальника отдела маркетинга на открытие доступа к финансовой системе. В качестве обоснования заявки было приложено задание генерального директора на маркетинговые исследования о процессах покупки товаров, производимых компанией. Поскольку финансовая система -- один из самых охраняемых ресурсов и разрешение на доступ к нему дает генеральный директор, начальник отдела информационной безопасности на заявке написал альтернативное решение -- доступа не давать, а выгрузить в специальную базу для анализа обезличенные (без указания клиентов) данные. В ответ на возражения главного маркетолога о том, что ему так работать неудобно, директор спросил в лоб: «Зачем тебе названия клиентов -- слить базу хочешь?», после чего все пошли работать.

К слову, модели (в других источниках -- профили) поведения нарушителя можно использовать не только с помощью сбора информации от программных агентов. При анализе характера запросов к базе данных, всегда можно выявить сотрудника, который рядом последовательных запросов к базе пытается получить срез конкретной информации. Необходимо тут же проследить, что он делает с этими запросами, сохраняет ли их, подключает ли сменные носители информации и т. д.

Развивая пример дальше, службы ИТ и ИТ-безопасности со Службой безопасности, могли использовать напрямую методы социальной инженерии для выяснения, кто заказчик базы данных. При этом создать необходимые условия, чтобы начальник отдела маркетинга допустил ряд недопустимых ошибок, более того, сделать регистрацию, юридически заверить и в таком случае можно уличить как сотрудника компании в предумышленной утечке конфиденциальной информации, так и заказчика, осуществившего заказ и взятого с поличным. Причем саму базу целиком не нужно «сливать», достаточно из архива полугодовалого или годовалого (можно более поздний срок взять) сделать срез и выгрузку, чтобы задействовать часть и то устаревшей базы. Более того, есть «Желтые страницы» и таких дисков много в продаже, откуда можно по требованию начальника маркетинга сфабриковать «левую» базу и отследить путь этой базы.

3.2.8 Меры по защите корпоративного сайта

3.2.8.1 Защита сайта компании от снятия backup у хостинг-компании

Если в компании есть сайт и он размещен на хостинге, т.е. компания арендует пространство для сайта у одной из хостинг-компаний (можно посмотреть информацию www.netstat.ru, www.uptime.ru), а таких компаний немало на отечественном рынке, следует составить политику работы компании с хостинговой компанией. Порядок снятия резервной копии сайта у хостинг-компании с его данными и внесение наполнения на сайт.

Очень часто в перечне услуг хостинг-компаний фигурирует сервис, неприметный но очень важный для социоинженера - это возможность приехать в офис компании и записать на носитель содержимое вашей директории, т.е. произвести backup. Сделать подставное лицо, которое приедет в офис такой компании не является сложной задачей. А если такое произойдет, тогда можно получить всякие .php, .cgi-скрипты и .inc файлы, а по ним узнать пароли, реквизиты к панели администратора, mysql-базе (или любой другой) и много других данных. Таким образом получаем массу информации о компании с уже готовыми логинами и паролями, для проникновения в сеть и в компанию, т.е. реализуется первый этап модели атаки «сбор информации».

Поэтому, чтобы кто-то не приехал в офис компании, выдав себя за сотрудника компания, которой принадлежит сайта и не получил копию образа сайта с хостинг-компанией подписывается дополнительное соглашение о процедуре снятия и получения архивов с сайтом компании на руки. А также описываются процедуры внесения изменений при реорганизации работы сайта. Хорошо разъясняется процедура по ответственным лицам, которая должна быть примерно, как у мобильного оператора связи, с выпиской на представителя компании генеральной доверенности и прописью в ней четких прав, кто может приехать, что он может делать и что для этого нужно т.д.

3.2.8.2 Рекомендации по правилу ведения форума на сайте компании

Форум для многих сайтов стал распространенным явлением. Причем, статистика показывает, что если компания серьезно относится к своим клиентам, то это обоснованные затраты на его организацию и ведение.

Более того, Интернет-конференции с видео трансляцией и онлайн форумами набирают свою силу и в качестве маркетингово шага, это действенная мера, финансово обоснованная по своим затратам.

Ранее было написано, что убить форум не столь сложно, сложно удержать посетителей и привлечь новых.

Ни в коем случае не вступать ни в какие-либо дискуссии с провокаторами и различного рода «виртуальными террористами». Таких товарищей нужно цинично уничтожать, за счет модерирования.

Желательно чтобы модератор не был участником форума. Это поможет сохранить его принципиальность при принятии решения.

Модератор должен быть умным, уравновешенным, эрудированным человеком.

У форума обязательно должен быть опубликован свод правил, направленность и тематика форума, что разрешено и что запрещено, какого уровня эксперты присутствуют на форуме и порядок обращения к ним посетителей со своими вопросами. В правилах обязательно нужно прописать, что действия модератора не обсуждаются и если кто-то из участников форума подвергся модерированию, то он точно должен знать за что и почему. чтобы после не оказалось много обиженных.

На форуме обязательно должен присутствовать человек или несколько лиц, компетентные в теме форума и обсуждаемых на нем вопросах. При приходе такого человека, полемика прекращается, если есть общее согласие или это единственный наиболее правильный и емкий ответ. Иначе, ветка превратится в флуд.

Если форум специализированный, не стоит заводить ветки «обо всем на свете или о жизни». Это заведомо неуправляемая ветка и способна сильно навредить как репутации компании, так и самому форуму. Если целью форума не является сам разговор «о жизни» или критика «всех и всего». И компетентного единственного решения на такой ветке просто не существует.

3.2.9 Вопросы, которые должны быть рассмотрены в политике ИБ

3.2.9.1 Защита от ряда угроз

3.2.9.1.1 Фишинг

Основой защиты от фишинг-атак является, «обучение» пользователей. Своевременное и полное информирование сотрудников о данной угрозе и о необходимости тщательной проверки источника запроса конфиденциальных или персональных данных устранит основное условие существования фишинг-атак. Т.е. воспитание у сотрудников компании скептического отношения к любым неожиданным входящим письмам. С этой целью в компаниях вводится специальная политика, которая регламентирует действия пользователей, получающих подобные письма и использующие конкретные принципы использования электронной почты с обязательными примерами атак, использующие эти принципы:

· Вложения в документы

· Гиперссылки в документах.

· Запросы личной или корпоративной информации, исходящие изнутри компании.

· Запросы личной или корпоративной информации, исходящие из-за пределов компании.

При возникновении новых разновидностей фишинга, необходимо дорабатывать документ и с доработками знакомить пользователей.

3.2.9.1.2 Вредоносные программ

Политика безопасности является необходимым атрибутом любой продуманной стратегии защиты от червей. Простой запрет на открытие вложенных файлов из электронных писем снижает риск заражения почтовыми червями практически до нуля.

3.2.9.1.3 Всплывающие диалоговые окна и приложения

В первую очередь, в политике ИБ должно быть записано правило, которое по шагам описывает действия пользователя в случае появления диалоговых окон, очень свойственные операционной системе (например Windows) об каких-то неполадках и системных ошибках, немедленно сообщать в службу поддержки о возникшей проблеме. Самому ничего не предпринимать и не нажимать никакие кнопки.

Также в политике запретить нажимание на любые сслыки, даже по интересной для пользователя теме в появляющихся всплывающих или popup - выпрыгивающих окнах в браузере. С точки зрения политики, лучше сразу отключать для пользователя различные встраиваемые рекламные полосы на страницах, установить запрет на скачивание файлов с веб-страниц и FTP-серверов (можно как всех, так и с набором расширений как служебных, так мультимедийных и архивов).

3.2.9.1.4 СПАМ

В политике ИБ необходимо четко прописать действия пользователей, если к ним приходит электронное сообщения от неизвестного адресата. Здесь подходит все, что указано в угрозе «фишинг». Тем не менее, повторю, нужно указать механизм и порядок действия для пользователя, сделать примеры для наглядности. В самих правилах жестко указать следующие моменты:

· Если название темы говорит само за себя, адресат не известен, даже не открывая определять в корзину.

· Если адресат известен, но тема не относится к рабочему процессу и вызывает подозрение, тем более если видно, что письмо прибыло с вложениями, удалить письмо или поставить в известность службу поддержки.

· Никогда не открывать вложения в письме от неизвестного адресата, независимо от расширения вложения (офисные документы, архивы, приложения, фотографии).

· Никогда не нажимать по ссылке в теле письма и щелкать на картинки, даже если адресат известен.

· Внимательно присматриваться к названию вложения и расширению от известного адресата.

· Ни в коей мере не высылать никакие свои пароли и учетные записи ни по какому требованию, будь-то непосредственный руководитель или директор компании, либо сотрудник службы ИБ и администратор.

· Если запрашиваемая информация от «легального» пользователя вызывает недоверие, что это нужно написать или переслать, лучше перезвонить и сообщить об этом непосредственному своему руководителю, а также в службу ИБ или ИТ (при отсутствии службы ИБ).

3.2.9.1.5 Угроза судебного преследования

В политике ИБ должно быть запрещено обмен/скачивание любым контентом, являющимся нарушением авторским прав (мультимедийный, программные разработки, издательская и другая литература).

3.2.9.1.6 On-line игры

Прописать в политике ИБ категорический запрет на данный вид развлечений. Аргументировано привести графические примеры и включить их в программу обучения сотрудников.

3.2.9.2 Защита с учетом используемых каналов передачи данных

3.2.9.2.1 Интернет-пейджеры

Необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от вероятных угроз по этому каналу. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде выполните пять следующих требований.

1. Выбрать одну платформу для мгновенного обмена сообщениями. Это облегчит работу службы поддержки и уменьшит вероятность того, что сотрудники будут пользоваться аналогичными службами других поставщиков. Если нужно надежнее ограничить имеющийся у пользователей выбор, можно заблокировать порты, используемые популярными службами мгновенного обмена сообщениями.

2. Определить параметры защиты, задаваемые при развертывании службы мгновенного обмена сообщениями. Обязательно закрыть возможность передачи и приема файлов. Клиентские модули систем мгновенного обмена сообщениями поддерживают различные параметры конфигурирования функций обеспечения безопасности и конфиденциальности, таких как поиск вирусов.

3. Определить принципы установления новых контактов. Порекомендуйте пользователям не принимать по умолчанию любые приглашения к общению.

4. Задать стандарты выбора паролей. Потребуйте от сотрудников, чтобы их пароли к службе обмена сообщениями соответствовали стандартам выбора надежных паролей, которые приняты для паролей, служащих для входа в систему.

5. Составьте рекомендации по использованию службы мгновенного обмена сообщениями. Сформулируйте для пользователей службы мгновенного обмена сообщениями оптимальные принципы работы с ней, подкрепив рекомендации обоснованными доводами.

3.2.9.2.2 Приложения класса peer-to-peer

Основу защиты от угроз, связанных с использованием Р2Р_приложений, является введение в организации соответствующей политики безопасности. Данная политика должна предусматривать:

1. Запрет использования неавторизованного программного обеспечения в корпоративной сети.

2. Запрет соединения через определенные порты, характерные для некоторых Р2Р-приложений (см. Таблицу № 1).

3. Применение специализированных средств для обеспечения мониторинга использования интернет-ресурсов, а также сканирования корпоративных сетевых ресурсов и рабочих станций на наличие и использование неавторизованного ПО и материалов.

Таблица 1. Порты, характерные для некоторых Р2Р-приложений

Napster	eDonkey	Gnutella	KaZaa
tcp 8888	tcp 4661	tcp/udp 6345	tcp 80 (WWW)
tcp 8875	tcp 4662	tcp/udp 6346	tcp/udp 1214
tcp 6699	udp 4665	tcp/udp 6347
	tcp/udp 6348

3.2.9.2.3 Телефония

В случае корпоративной телефонии.

Необходимо, чтобы пользователи кроме физического телефона ничего не знали об устройстве телефонной сети и используемом оборудовании.

В политике ИБ необходимо жестко прописать:

· чтобы никаких переключений и переадресаций звонков на других сотрудников компании, никто не осуществлял, если конечный пользователь сам не ожидает звонка (можно всегда спросить, ждет ли конкретный пользователь звонка от такого-то лица или компании в данный момент).

· запретить называть прямые городские корпоративные и мобильные номера и внутренние номера как конкретных лиц, так и подразделений.

· запретить на фразу «Мне с Вашими АйТишниками нужно поговорить» или «Мне бы главного бухгалтера услышать» осуществлять перевод звонка. Всегда уточнить вопрос и после непосредственного разговора с данным сотрудником или отделом отказать или перевести звонок, если он ожидаемый.

· запретить называть ФИО сотрудников, особенно руководителей, и ответственных за тот или иной участок работы.

· жестко прописать, что только специалисты службы поддержки могут оказывать помощь по телефону.

В случае службы поддержки

Службе поддержки следует найти баланс между безопасностью и эффективностью работы и отразить достигнутый компромисс в политиках и процедурах безопасности.

Защитить службу поддержки от атак со стороны внутреннего сотрудника или подрядчика сложнее в виду осведомленности злоумышленника. Процедуры обеспечения безопасности должны выполнять в таких ситуациях две следующих функции.

· Служба поддержки должна гарантировать, что все действия пользователей, обращающихся за помощью, регистрируются. Если, обратившись в службу поддержки, злоумышленник возможность несанкционированного доступа к данным и ресурсам, регистрация его действий позволит быстро заблокировать атаку и ограничить причиненный ущерб. Кроме того, при каждом обращении в службу поддержки целесообразно генерировать автоматически или создавать вручную почтовое сообщение с описанием проблемы или запроса и отправлять его заинтересованным лицам. Это поможет сотруднику, у которого украли учетные данные, понять, что произошло, и обратиться в службу поддержки.

· Служба поддержки должна утвердить структурированную процедуру обработки разных типов запросов. Например, если запрашивать изменения прав доступа для сотрудника должен будет по электронной почте его начальник, это исключит несанкционированные или неформальные изменения уровней безопасности.

Полный аудиторский контроль -- самое эффективное средство обнаружения и предотвращения нарушений законов и корпоративных норм.

3.2.9.2.4 Хранение и утилизация мусора

Сотрудники компании должны понимать все последствия, к которым может привести выбрасывание бумажных документов или электронных носителей информации в мусорную корзину. Как только мусор покидает территорию компании, ее права могут больше на него не распространяться.

В политике ИБ должны быть прописаны четкие правила по работе с документами и магнитными накопителями, которые по тем или иным причинам уже не нужны. Бумажный мусор всегда следует измельчать в бумагорезательных машинах, а электронный -- уничтожать физически или стирать записанные на нем данные с помощью специальных технических средств. Если какие-либо документы (например телефонный справочник) из-за размеров или жесткости невозможно измельчить в бумагорезательной машине либо у пользователя нет технической возможности это сделать, нужно определить специальную процедуру избавления от них. Мусорные контейнеры следует размещать в защищенной области периметра компании попадающего в область прямой видимости службы безопасности, недоступной посторонним лицам.

При разработке политики утилизации мусора важно убедиться в том, что соблюдены все местные санитарные нормы и нормы безопасности. По мере возможности следует выбирать экологически чистые способы утилизации мусора.

Кроме внешнего мусора -- бумажных, факсимальных или электронных отходов, доступных посторонним лицам, -- есть еще и внутренний, который тоже нужно контролировать. Одной из самых эффективных мер по управлению бумажным мусором является классификация данных. Для этого следует определить разные категории бумажных документов и способы их утилизации. Ниже перечислены примеры таких категорий.

Конфиденциальная корпоративная информация. Прежде чем выбросить какие-либо документы с конфиденциальной корпоративной информацией в какую угодно мусорную корзину, их необходимо измельчить в бумагорезательной машине.

Закрытая информация. Прежде чем выбросить какие-либо документы с закрытой информацией в какую угодно мусорную корзину, их необходимо измельчить в бумагорезательной машине.

Информация отделения. Прежде чем выбросить какие-либо документы с информацией отделений компании в общедоступный мусорный контейнер, их необходимо измельчить в бумагорезательной машине.

Открытая информация. Документы с открытой информацией можно выбрасывать в любые мусорные корзины и контейнеры или сдавать на переработку как макулатуру.

Факсимальные пленки, магнитные носители, как некоторую бумажную документацию вышедшие из употребления, нужно определять в специализированное хранилище, доступ к которому ограничен, находящейся под наблюдением службы безопасности. В дальнейшем компания периодически осуществляет вывоз таких архивов для утилизации в печах. Для пресечения перехвата информации, в такие дни обычно к сотруднику службы АХО откомандировывается сотрудник службы ИБ, финансовый менеджер или из группы охраны предприятия. Данные сотрудники должны быть четко проинструктированы на случай различного развития событий.

3.2.9.2.5 Социальный или личностный канал

Защитить пользователей от атак, основанных на персональных подходах, очень сложно в силу человеческого фактора и часто, очень хорошо спланированной операции. Проведения успешной атаки ни в одной из стратегий исключить нельзя. И как правило, если атака направленная, на конкретную персону в компании, она чаще достигает успеха, нежели нет, при тщательной проработке. И тем не менее, осторожность, аккуратность и работа с персоналом - снижают такой риск.

Защититься от атак, основанных на запугивании, можно, способствуя формированию корпоративной культуры, исключающей страх. Если сотрудники компании всегда ведут себя вежливо и учтиво, запугивание не позволит злоумышленнику добиться желаемого, потому что подвергшийся атаке сотрудник скорее всего сообщит об этом начальству. Благожелательное отношение к сотрудникам со стороны руководства и надзор за процедурой решения проблем и принятия решений -- худшее, с чем может столкнуться злоумышленник, использующий методы социотехники. Ему нужно, чтобы жертвы атак принимали решения быстро. Если в компании принято докладывать о проблемах руководителям, злоумышленник этого не добьется.

Убеждение всегда было важным способом достижения личных целей. Необходимо сотрудникам дать четкие указания по поводу того, что им следует делать, а что не следует. Пытаясь получить конфиденциальную информацию методом убеждения, злоумышленники всегда представляют тот или иной сценарий, предполагающий, что пользователь сообщит ее добровольно. Регулярное проведение информационных кампаний и определение базовых принципов использования паролей и других средств обеспечения безопасности -- лучшая защита от подобных атак.

Чтобы войти в доверие к сотрудникам компании, злоумышленнику нужно время. Злоумышленник должен регулярно общаться с сотрудниками, что значительно легче, если он работает вместе с ними. В большинстве компаний среднего размера основным источником таких угроз являются работники, регулярно оказывающие компании какие-либо услуги или работающие по контракту. Поэтому отдел кадров должен уделять подбору сотрудников, работающих по контракту такое же внимание, как и штатным сотрудникам. Основную часть этой работы можно делегировать кадровому агентству. Для гарантии того, что агентство справится с этой задачей, можно потребовать, чтобы им были соблюдены принятые в компании политики подбора постоянных сотрудников. Если есть подозрение, что на постоянную работу в компанию устроился злоумышленник, использующий методы социотехники, лучшими способами защиты от него являются информирование сотрудников и соблюдение ими политики информационной безопасности.

Наконец, вероятность успешного проведения атак, основанных на злоупотреблении взаимопомощью, можно свести к минимуму, обеспечив высокую эффективность работы службы поддержки. Часто сотрудники обращаются за помощью к коллегам из-за неудовлетворенности услугами имеющейся службы поддержки.

Чтобы гарантировать, что в случае проблем сотрудники будут обращаться в службу поддержки, а не к коллегам (атаки ОСИ) или, хуже того, к внешним специалистам, необходимо выполнить два условия.

· Укажите в политике ИБ, что при возникновении проблем пользователи могут запрашивать помощь только у специалистов службы поддержки и ни у кого больше.

· Убедитесь в том, что для службы поддержки определена процедура реагирования на проблемы, отраженная в принятом для отделения компании соглашении об уровне обслуживания. Регулярно проводите аудит эффективности работы службы поддержки, проверяя, чтобы пользователи получали всю необходимую помощь.

Служба поддержки -- важный механизм защиты от социотехнических атак, который не стоит недооценивать.

3.3 Технические меры

3.3.1 Два подхода к защите информации

В настоящее время различают две концепции защиты информации от утечки - канальную и периметральная защита.

3.3.1.1 Подход канальной защиты

Он подразумевает использование для контроля над каналом специализированного решения, разработанного именно и только для данного канала. Рынок имеет достаточно много решений для контроля фактически над каждым каналом. Кроме общих для всех каналов свойств (атрибутный и контентный анализ, архивирование информации, а также квотирование по времени или размеру), эти решения содержат и специфические для каждого канала свойства. Например, для электронной почты -- антивирус и антиспам; для доступа в Интернет -- антивирус, антифишинг, URL-фильтр; для печати -- биллинг расхода бумаги и тонера; для сменных носителей -- динамический контроль доступа.

Задачу контроля каналов также функционально можно решить с помощью систем, разработанных с другой целью, но имеющих возможность контроля канала в качестве побочной. На российском рынке это почтовые архивы (производителей Veritas, NetApp, Software AG, Oracle и др.). В сегменте веб-трафика -- универсальные аппаратные устройства, фильтрующие сигнатуры (Aladdin eSafe, Symantec Security Gateway, McAfee Redbox, Barracuda и др.). В области печати -- биллинговые программы производителей принтеров и их партнеров. Для контроля движения файлов на сменные носители -- инвентаризационные агенты (LANDesk, IBM Tivoli, HP Open View).

Такие решения внедрены во многих компаниях на всех или на нескольких каналах. Цель использования подобных программ -- защита канала от всех угроз, а не только от утечек информации. Все эти продукты преобладали в то время, когда один и тот же человек в компании отвечал за работоспособность канала, а не за угрозу.

У каждого из каналов есть свои лидеры. На российском рынке в сфере контроля и архивирования электронной почты лидируют Clearswift (MIMESweeper), «Инфо-системы Джет» («Дозор-Джет») и SurfControl (Web Filter). В сегменте контроля и архивирования веб-трафика лидеры те же. В области контроля и архивирования печати -- производители сетевых устройств печати (Hewlett-Packard, Xerox и др.). Наконец, в области контроля сменных носителей -- Sanctuary Device Control, DeviceLock и Zlock.

Сегодня на рынке представлено несколько аппаратных комплексов, которые обладают функциональностью универсального фильтра (Aladdin eSafe, Symantec Security Gateway, McAfee Redbox, Barracuda). Такие фильтры в потоке трафика могут отыскивать вирусные, спамерские или инсайдерские сигнатуры. Под последним видом сигнатур понимаются ключевые слова, содержащиеся в пересылаемых данных. Например, фильтр позволяет выявить пересылку документов, в которых есть слово «конфиденциально». Однако для отыскания инсайдерских сигнатур, содержащих русскоязычный текст, такой фильтр не подходит.

Подобные устройства хорошо продаются в странах, где распространен английский или испанский язык. Так, английские слова в большинстве своем меняют форму с помощью предлогов, множественное число образуется присоединением «s» и т. д. Между тем, когда продукту приходится работать с более сложными языками, в базу фильтрации должны входить все возможные формы слов, а в славянских языках -- еще и разные кодировки. Существует шесть различных кодировок для русского языка. Более того, в русском языке около миллиона словоформ. Поэтому при использовании такого рода решений для предотвращения утечек администратору надо создать вручную список из нескольких десятков тысяч запрещенных ключевых слов, но в этом случае продукт окажется непроизводительным. Между тем если пытаться сократить список ключевых слов, то его будет очень просто обмануть. Достаточно удалить из документа слово «конфиденциально» или заменить с помощью Find/Replace (Найти/Заменить) русские буквы «о», «р», «е», «у», «а» на похожие английские. Так что защищаться от утечек с помощью универсального сигнатурного фильтра практически невозможно.

3.3.1.2 Подход периметральной защиты

Этот подход достаточно недавно стала набирать силу, в связи с пересмотром рядом лидирующих компаний в области защиты информации от утечек информации многих взглядов с учетом анализа требований самих потребителей систем и желания привлечь больше инвестиций к своим решениям, за счет удешевления комплексных решений без потери функционала. Здесь наблюдается качественный переход построения служб информационной безопасности от канального к функциональному, а также самой ИТ-инфраструктуру на предприятии. В связи с чем, на рынке ИБ возникала потребность в решении, которое может управлять защитой от каждой из угроз (вирусов, хакерских атак, действий инсайдеров) независимо от того, по какому каналу она может быть осуществлена. Внешние и внутренние угрозы могут быть реализованы по нескольким каналам, поэтому сами решения должны быть комплексными.

Комплексное решение представляет собой единое хранилище данных (независимо от того, по какому каналу они покинули сеть), сервера контентной фильтрации и перехватчиков (которые контролируют какой-то один конкретный канал и направляют данные для анализа на сервер контентной фильтрации). Перехватчики могут быть реализованы в трех архитектурах:

· шлюз (gateway), то есть отдельно стоящий сервер или отдельное устройство, работающее в режиме прозрачного прокси-сервера;

· plug-in для сервера (например, plug-in для прокси-сервера, почтового или сервера печати);

· агент на стороне клиента (например, на уровне рабочей станции).

Периметральные решения представлены на рынке в основном западными компаниями: Port Authority (находится в процессе поглощения компанией WebSense), Vontu, McAfee (после поглощения Onigma). Из российских разработчиков периметральное решение есть только у компании Info Watch. Из упомянутых компаний первые три используют сигнатурную контентную фильтрацию, которая не подходит для работы с русским языком из-за огромного количества русских словоформ. Что касается Info Watch, то в основе фильтрации контента лежит морфологический, а не сигнатурный анализ.

3.3.2 Какой из подходов выбрать

Предпочтение тому или другому подходу зависит от реализации политики построения в компании службы ИБ и текущего положения дел в компании относительно используемых решений по части защиты информации.

С точки зрения стандартов ИБ, канальные решения представляют собой традиционный подход защиты канала утечки на основе модели «угроза -- техническое решение». В этом случае служба ИБ концентрируется на контроле каналов вместо того, чтобы защищать информацию, раздавая профили доступа и контролируя их соблюдение.

Преимущество канального подхода:

· весь канал находится под контролем одного человека. Что оправданно только в том случае, если служба ИБ организована по канальному принципу.

· наличие у решений более широкой функциональности. Они добавляют к технологиям контроля над передвижением данных специфический для каждого канала функционал, который часто не имеет никакого отношения к защите от утечек (антивирус, антиспам, антифишинг), так и к ИБ вообще (URL-фильтр, контроль расхода бумаги и т. д.).

· в случае вливаний инвестиций в такие решения, расход на обновления версий относительно небольшой.

Недостатки канальной организации защиты:

· невозможность комплексного подхода. Если служба защиты информации организована по функциональному принципу, то для нее будет невозможность интеграции анализа контента из разных каналов и централизованного распространения политик. Многие статистические и аналитические данные приходится сопоставлять в ручную из-за накопления, хранения и способов обработки данных в разных СУБД.

· для службы ИБ эксплуатация многофункциональной канальной защиты представляет потенциальный конфликт со службой ИТ, связанный с постоянным разделением прав на функции и настройки, которые либо связаны с ИБ, либо не связаны. Функции и настройки находятся в одной консоли.

· невероятно сложно осуществить синхронизацию и индексацию сархивированной информации для анализа деятельности нарушителя в случае возникновения ситуации.

· не позволяет службе ИБ сфокусироваться на нарушителе и защищаемой информации, так как предоставляет разрозненную, неконсолидированную информацию по каждому из каналов, как отмечалось выше.

· отсутствие возможности масштабирования, т.к. при использовании канального продукта необходимо масштабировать все решение целиком.

Достоинства периметальной организации защиты:

· учитывается сразу два типа угроз - внешние и внутренние.

· комплексность и возможность централизованного управления.

· легкое масштабирование, за счет того, что то функции анализа контента и архивирования данных вынесены в отдельные модули. При увеличении нагрузки на перехватчики достаточно резервировать и кластеризовать только их.

· концентрация службы ИБ на том, какая информация не должна покинуть периметр, т.е. независимо от канала предотвратить утечку.

· для службы ИБ модель эксплуатации системы периметральной защиты не подразумевает функционального контакта со службой ИТ.

· защита инвестиций при внедрении защиты даже одного канала. Создать правила, настроить хранилище, базу контентного анализа и правила для групп пользователей необходимо только один раз. При внедрении защиты остальных каналов достаточно будет просто инсталлировать и подключить перехватчики новых каналов. Вся остальная работа по настройке системы уже сделана.

· новый подход к минимизации рисков, т.к. периметральные продукты не зацикливаются на конкретном канале, а фокусируются на риске утечки информации.

Недостатки периметальной организации защиты:

· Значительный расход финансовых средств, при решение вопроса по внедрению системы на один канал;

· В настоящий момент, достаточно часто при покупке такого решения только для одного канала, отсутствует сопутствующая канальная функциональность: антивируса, антиспама, антифишинга, URL-фильтра и т. д.

Однако, эти недостатки снимаются, при покупке модуля для защиты второго-третьего канала.

Как мы видим, есть преимущества и недостатки у обоих решений. Правда, у второго решения преимущества возникают сразу, если правильно строить службу ИБ и проектировать систему защиты с нуля.

Но если компания думает о защите только одного канала, она выбирает канальное решение, если же о двух и больше -- периметральное.

Учитывая то, что системы сами по себе опережают ряд будущих уязвимостей, на мой взгляд для грамотного вложения денег и экономии ресурсов на раздутие штата ИТ служб, стоит брать периметральное решение. Поддержка канального решения, требует расходов на персонал, которой бы обеспечивал работу с ним.

Учитывая тенденцию рынка, будущее за периметральными решениями. В частности, это подтверждает рост акций публичных компаний, производящих периметральные решения, и их скупка монстрами рынка ИБ -- Cisco, ISS, McAfee, Symantec, IBM и др. Так, в феврале 2006 г. корпорация Symantec купила компанию IMlogics, чтобы добавить к числу покрываемых каналов интернет-пейджеры. Сейчас же Symantec ведет переговоры о покупке Vontu, чтобы добавить почту и Интернет, а потом выпустить единое периметральное решение. В свою очередь, в октябре 2006 г. фирма McAfee купила компанию Onigma, чтобы добавить в свои продукты функциональность для контроля над новыми каналами. Аналогично поступили WebSense (поглотила PortAuthority в декабре 2006 г.), IBM (купила Consul в декабре 2006 г.), Cisco (поглотила IronPort в январе 2007 г.).

3.3.3 Защита от угроз

3.3.3.1 Фишинг

Технический способ борьбы с фишингом, является специализированные средства контентной фильтрации, таких как анти-спамфильтры, системы контроля электронной почты, фильтры, обеспечивающие фильтрацию сообщений интернет_пейджеров и т.п. Данные системы выделяют из потока фишинг-сообщения, применяя следующие способы: