Начало
Обучение
Методология
Литература
Аналитика
Контакты







Новости

31.10.2018. В США предъявлены обвинения десяти китайским кибершпионам

 >>


17.10.2018. Обнаружены следы атаки на энергетические компании Украины

 >>


16.10.2018. В даркнете продаются данные миллионов избирателей США

 >>


12.10.2018. В Украине открыли бесплатную школу «белых» хакеров

На территории инновационного парка UNIT.City в Киеве появилась еще одна бесплатная школа для IT-специалистов. >>


12.10.2018. Эксперт взломал защиту от шифровальщиков в Windows 10

Встроенную в Windows 10 защиту от программ-вымогателей можно обойти при помощи DLL-инъекции. >>


12.10.2018. Спустя 5 лет после атак на сайты NASA в Италии пойман виновник инцидентов

На этой неделе 25-летний гражданин Италии признал свою вину в осуществлении дефейса сайта NASA и еще 60 правительственных сайтов в 2013 году... >>



Архив: 2013 2014 2015 2016 2017 2018 2019.
В начало библиотеки

3. КОМПЛЕКСНЫЙ ПОДХОД К ПОСТРОЕНИЮ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

Современное состояние обеспечения безопасности информации в корпоративных структурах в Украине характеризуются двумя основными особенностями.

С одной стороны рынок организационных и технических средств и методов защиты представляет широчайшие возможности для выбора отечественных и зарубежных средств обеспечения безопасности. Только в Украине предлагают свыше 400 наименований продуктов и услуг более 1500 поставщиков и производителей средств защиты.

С другой стороны — слабое понимание и недооценка значимости и ценности информации для корпоративных структур различной формы собственности, упрощенный подход к организации деятельности службы безопасности, не говоря уже о комплексных решениях по защите информации, системном анализе и системах управления безопасностью объектов защиты.

Для владельца одинаково важно предотвратить утечку информации по обусловленному каналу связи и через мусорную корзинку, избежать уничтожения информации в базах данных через шлюз Internet или через пожар от окурка, небрежно брошенного нерадивым сотрудником.

Следует учитывать, что обеспечение безопасности имеет множество аспектов и имеет как организационное, техническое, так и "человеческое" лицо.

Руководство однозначно должно понимать, что недооценка действующих или предполагаемых угроз может привести к ущербу, величина и вероятность которого растет пропорционально успехам и значимости корпорации в иерархической лестнице общества.

Постановка задачи и порядок ее решения

Решение проблемы обеспечения безопасности информации на современном уровне требует системного подхода, который предполагает систематизацию определенных задач и порядок их решения.

  • Что защищать?
  • Где защищать?
  • Когда защищать?
  • От чего защищать?
  • И, наконец, — чем защищать?



3.1. ОБЪЕКТЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ, НУЖДАЮЩИЕСЯ В ЗАЩИТЕ. МЕТОДИКА ИХ ВЫЯВЛЕНИЯ. АНАЛИЗ РИСКОВ.

Ответом на первый вопрос должен быть некий перечень ресурсов Вашей информационной системы, подлежащих защите. Итак, что же за объекты могут подвергаться угрозам?

Сейчас основную угрозу бизнесу составляют следующие угрозы:

  • Кража, подмена, удаление информации.
  • Сбои, остановка, нестабильная работа критически важных приложений, СУБД, серверов, и т. д.
  • Кража, порча, поломка офисной техники.
  • Неработоспособность персонала.

Исходя из знания основных угроз для бизнеса, можно уже определить основные объекты, подлежащие защите, это:

  • Информация.
      Основные угрозы для информации:
    • Похищение. Не секрет, что в наш век информационных технологий информация становится очень важным инструментом. Например, если у Вас украли пароли к Вашему банковскому счету, то Вы можете потерять деньги. Если же была похищена информация о Ваших планах на следующий период деятельности предприятия, то конкуренты могут создать Вам существенные проблемы.
    • Изменение. Разберем самый простой пример: Вы посылаете своему партнеру письмо по e-mail, в котором назначаете ему встречу в 17-00. Ваш конкурент, который хочет перехватить у Вас этого партнера, перехватывает Ваше письмо и изменяет время встречи на 15-00. Ваш партнер приходит, обижается, и уходит к вашему конкуренту. Это самый простой пример, от которого довольно легко найти защиту. Но он наглядно показывает угрозу изменения информации. А представьте, что конкуренты изменили результаты Ваших маркетинговых исследований? Или взломали Ваш сайт, и изменили некоторые страницы? Такие примеры можно приводить до бесконечности.
    • Удаление. Оцените Ваш ущерб, если Ваши конкуренты удалят Вашу базу клиентов.
  • Компьютеры, серверы, сетевое оборудование, ноутбуки.
      Основные угрозы:
    • Вывод из строя. Причин вывода их строя может быть несколько, это и помехи и скачки в электросети, и неправильные действия обслуживающего персонала, и заводские неисправности, и старость оборудования, и вредоносные действия. К счастью на данный момент вирусов, способных уничтожить оборудование, нет, может это вопрос не самого скорого будущего. Последствия зависят от критичности бизнес процессов, связанных с этим оборудованием. В лучшем случае это может привести к простою техники, но зачастую бывает довольно сложно посчитать ущерб от простоя техники, ведь надо будет оценить всю невыполненную работу, возможные несостоявшиеся сделки, а так же возможные санкции за срыв того или иного договора. Не стоит говорить, что возможные клиенты, узнав, что "сейчас компьютер не работает" не будут ждать, пока Ваши системщики наладят компьютеры, а просто уйдут к конкурентам.
    • Кража. На самом деле, это довольно существенная угроза, особенно для ноутбуков. Так же в крупных предприятиях довольно остро стоит проблема кражи комплектующих обслуживающим персоналом. Не стоит забывать, что, например, с ноутбуком директора, злоумышленники крадут и критически важную информацию предприятия. Поэтому необходимо обеспечить сохранность информации даже в случае потери или кражи ноутбуков.
  • Установка аппаратных устройств (АУ) снятия информации.

    Угрозу от установки АУ снятия информации сложно переоценить. С помощью аппаратных снифферов злоумышленники получают все пароли, которые проходят через сеть. С помощью "жучков" в телефоне или в Вашем столе, они получают все Ваши переговоры.

  • Операционные системы, приложения, СУБД, программные серверы.
      Основные угрозы:
    • Нестабильная работа. Причин нестабильности ОС может быть несколько: это и ошибки разработчиков, и неправильная конфигурация, и конфликты с оборудованием, и установка программ способных внести нестабильность в работу, а зачастую и привести к зависанию, и специальные атаки, и вирусные атаки, и неграмотная работа пользователей. Последствия нестабильной работы колеблются от замедления рабочего процесса, до создания благоприятных условий для взлома Вашей ИС.
    • Критические сбои в работе, незапланированные остановки, "зависания". Основные причины такие же, как и при нестабильной работе. Можно сказать, что это следующий этап нестабильной работы. Но последствия уже тяжелей. Это уже может быть и простой Вашего предприятия. На данный момент довольно часто встречаются компании, которые из-за сбоя бухгалтерской программы вынуждены отказывать приходящим клиентам.
    • Взлом. Причиной взлома могут быть и ошибки разработчиков, и несвоевременное обновление ПО, и неверная конфигурация, и ошибки персонала. Так же очень вероятно, что взлом был осуществлен или Вашим персоналом или с помощью кого того из него. Последствия взлома Вашей ИС очень сложно переоценить, и зависят уже не от Вас, а от намерений того, кто осуществил взлом.
  • Персонал.
      Основные угрозы:
    • Неработоспособность или низкая эффективность. Основные причины: Постоянные помехи (например, разнообразные представители канадских оптовых компаний). Несобранность и недисциплинированность (Например, если вместо исполнения своих прямых обязанностей персонал постоянно говорит по телефону, лазит по Интернет, общается в ICQ и так далее). Возможные последствия: Увеличение затрат, потеря клиентов, (нередки случаи, когда сотрудники занятые чем-то интересным для них, например фильмом, небрежно общались с клиентами, и даже, намерено не раскрывали всех предложений компании, что бы как можно скорее освободится). Довольно часто встречается грубое отношение к клиенту, после того как к ним забрело около десятка представителей разнообразных компаний.
    • Неграмотность или некомпетентность персонала в области безопасности. Основные причины: неответственное отношение к вопросам обучения персонала. Возможные последствия колеблются от создания сотрудниками уязвимости безопасности Вашей ИС до нарушения работы Вашей ИС. Так же не стоит забывать, что существует целый класс атак направленный именно на сотрудников — социальный инжиниринг. С помощью него злоумышленник может получить самый высокий доступ к Вашей ИС.
    • Умышленные действия Вашего персонала. Самая распространенная причина, это недовольство. Недовольство может быть вызвано маленькой, по мнению сотрудников, зарплатой, ущемлению прав, заниженной оценкой способностей, увольнением, Так же известны случаи, когда в компанию на временную работу устраивались люди из конкурентных компаний. Последствия очень опасны, 80% взломов осуществляются сотрудниками компаний. И эти люди знают, что представляют ценность, что, может навредить Вашему бизнесу. Поэтому к этой проблеме надо отнестись с особенной тщательностью.

Мы рассмотрели основные объекты, подвергающиеся угрозам с точки зрения информационной безопасности.

Что касается собственно информации — вот лишь основные сведения, которые могут представлять интерес для сбора и анализа злоумышленниками.

Сведения коммерческого содержания:

  • сводные отчеты по финансовой деятельности фирмы (ежемесячные, квартальные, годовые, за несколько лет);
  • кредитные договоры с банками;
  • договоры купли и продажи;
  • сведения о перспективных рынках сбыта, источниках средств или сырья, товарах, о выгодных партнерах;
  • любая информация, предоставленная партнерами, если за ее разглашение предусмотрены штрафные санкции.
  • данные о конкурентах, их слабые и сильные стороны;
  • условия финансовой деятельности;
  • технологические секреты;
  • меры, предпринимаемые конкурентами в отношении своих противников;
  • данные о потенциальных партнерах, проверка их на недобросовестность;
  • информация о месте хранения грузов, времени и маршрутах их перевозки;
  • выявление уязвимых звеньев среди сотрудников;
  • выявление лиц, перспективных для вербовки путем подкупа, шантажа или иного метода;
  • связи и возможности руководства;
  • выявление круга постоянных посетителей.

Сведения личного характера:

  • источники доходов;
  • истинное отношение к тем или иным общественным явлениям, "сильным мира сего";
  • уклад личной жизни руководителя и членов его семьи;
  • расписание и адреса встреч — деловых и личных;
  • данные о размерах финансового благополучия;
  • информация о человеческих слабостях;
  • пагубные пристрастия;
  • вредные привычки;
  • сексуальная ориентация;
  • данные о друзьях, подругах;
  • данные о местах проведения досуга, способах и маршрутах передвижения;
  • информация о местах хранения ценностей;
  • место жительства;
  • супружеская неверность;
  • проблемы отцов и детей.

Проанализировав сведения, документы и иные информационные ресурсы конкретной информационной системы можно выделить из них те, которые как раз и нуждаются в защите. Предлагается следующая методика по выявлению таких объектов.


ВЫЯВЛЕНИЕ ОБЪЕКТОВ ПОДЛЕЖАЩИХ ЗАЩИТЕ В ВАШЕЙ ИС.

Для того, что бы выявить все объекты, подлежащие защите в Вашей ИС необходимо проверить ВСЕ компьютеры. Результатом проверки должен быть отчет, в котором должно быть указано:

  • Детальная схема компьютеров в ИС, с указанием сетей и подсетей в которые они объединены. Так же должны быть указаны "дружественные" отношения между компьютерами.
  • Список всех устройств для выхода в Интернет. Для каждого компьютера или сервера должен быть свой отчет, в котором должны быть отражены следующие сведения:
    • Установленная операционная система, ее версия, наличие обновлений и "заплаток";
    • В каком домене или рабочей группе находится компьютер;
    • В каких учетных записях домена участвует компьютер;
    • Список компьютеров, к которым имеется доступ;
    • Список всех компьютеров, которые имеют доступ;
    • Список установленного программного обеспечения;
    • Список файлов с конфиденциальной информацией на этом компьютере;
    • Наличие выхода в Интернет;
    • Список персонала имеющего доступ к компьютеру;
    • Ответственное лицо за компьютер;
    • Ответственное лицо за сеть, в котором находится компьютер.
  • Список всех сетей и подсетей.
      Для каждой сети и подсети должен быть свой отчет, в котором должны быть следующие данные:
    • Ответственное лицо;
    • Список всех компьютеров входящих в сеть;
    • Тип сети (одноранговая, с выделенным сервером, "звезда", "кольцо", "Mesh", etc);
    • Список всех сетевых устройств;
    • Список сетевых протоколов использующихся в сети;
    • Список всех аппаратных устройств обеспечивающих беспрерывность работы.
  • Список всех серверов.
      Для каждого сервера должен быть свой отчет, в котором должно быть отражено:
    • Ответственное лицо;
    • Установленная операционная система;
    • Роль сервера;
    • Компьютеры и пользователи, имеющие к нему доступ;
    • Список баз данных с указанием СУБД;
    • Список информации, содержащейся на сервере.
  • Конфиденциальная и важная информация, критически важные приложения, с указанием компьютеров и серверов, где они физически находятся, с указанием ответственных лиц за целостность и безопасность.
  • Список персонала.
      Для каждого сотрудника должен быть отдельный отчет, в котором должно отображаться:
    • Список учетных записей, в которых присутствует сотрудник;
    • Список компьютеров, к которым имеется доступ у сотрудника;
    • К какой информации, или к каким приложениям имеет доступ сотрудник;
    • Знание сотрудником требований безопасности;
    • Уровень подготовленности сотрудника к внештатным ситуациям.
  • Список выявленных уязвимостей с подробным описанием степени угрозы, трудностью ликвидации, возможностью проявлению угрозы в будущем.

Проведение проверки можно разделить на несколько этапов:

Первый этап.

Заключается в упорядочивании информации в ИС и разбиении ее на категории. Всю информацию можно разделить на несколько групп доступа:

  • Запрещено чтение и изменение. К такой информации можно отнести протоколы заседания совета директоров, чертежи, бухгалтерскую информацию. Для информации этой группы необходимо строго определить группу лиц имеющих доступ к ней, имеющих права изменять, ответственных за целостность и безопасность.
  • Запрещено изменение. К такой информации можно отнести прайс-листы, содержимое вебсайта, рекламные материалы. Для информации этой группы необходимо определить группу лиц имеющих право ее изменять, и ответственных за ее целостность.
  • Запрещено блокирование. Некоторые приложения могут блокировать файл на чтение или изменение информации. Если необходимо, чтобы информация всегда была доступна, то тогда надо продумать механизмы одновременного использования информации несколькими посетителями.
  • Запрещено удаление. К этой группе, может относиться записи в гостевой книге, форуме. Необходимо назначить ответственное лицо за целостность информации.

После упорядочивания информации, необходимо определить на каких серверах или компьютерах находятся файлы с информацией. Так же во время этого этапа необходимо оценить важность этой информации для предприятия и степень угрозы для ИС в случае совершения несанкционированных действий с этой информацией.

Второй этап.

Заключается в определении всех критически важных приложений и процессов. В ходе этапа, необходимо определить, где находятся СУБД, где файловые серверы, где контроллеры домена, где веб-серверы. Так же нужно определить под какими платформами работают эти приложения и процессы. Кроме этого необходимо определить степень угрозы для ИС в случае выхода из строя приложения.

Третий этап.

Заключается в создании схемы сети ИС. В ходе этого этапа необходимо определить ВСЕ компьютеры входящие или имеющие доступ к сети ИС Вашего предприятия. Так же необходимо не упустить из виду компьютеры или устройства, которые на момент проверки не были подключены к сети ИС (например, ноутбуки). Отдельным подэтапом можно вынести учет всех ноутбуков.

Четвертый этап.

Заключается в определении всего ПО, настроек ПО и ОС, определению связей компьютеров в сети. Этот этап лучше всего проводить с помощью сканеров безопасности, На сегодняшний день существует множество сканеров, которые или в какой-то степени дублируют друг друга (сканеры разных фирм) или выполняют различные по сути проверки. Помимо простой проверки ПО, они, как правило, определяют и основные "дыры" в защите, у некоторых из них есть база распространенных атак. Для комплексной проверки лучше всего использовать два типа сканеров — на уровне сети и на уровне системы. Сканер на уровне сети определяет уязвимости в сети, настройках сети, несанкционированных шлюзах в Интернет, и т. д. Сканер на уровне системы определяет настройки ОС, установленные приложения, а так же позволяет выявить "дыры" в ПО.

Пятый этап.

Определение всех сотрудников имеющих доступ к ИС, их права, обязанности. Так же необходимо провести тренинг, для определения уровня подготовленности персонала.



3.2. АУДИТ НА ОСНОВЕ АНАЛИЗА ИНФОРМАЦИОННЫХ РИСКОВ.

В результате описанной выше проверки, помимо подробного описания существующей ИС, будет выявлены и уязвимости безопасности. Такой метод называется "Активный аудит". Активный аудит, как мы уже поняли, основан на выявлении технических уязвимостей ИС. Этот метод является необходимым этапом в процессе общего аудита безопасности ИС предприятия, но для обеспечения необходимого уровня безопасности ИС необходимо провести аудит на основе анализа информационных рисков предприятия. С помощью подобного аудита (он основан на международном стандарте IS017799) можно провести полный анализ защищенности ИС и управления информационной безопасностью предприятия.

Целью аудита на основе анализа информационных рисков предприятия, является:

  • Убедиться, что требования к безопасности ИС полностью проанализированы и документированы.
  • Избежать излишних трат на принятие излишних мер безопасности.
  • Наиболее эффективно планировать и осуществлять защиту на всех этапах жизненного цикла ИС.
  • Сократить сроки внедрения системы безопасности ИС.
  • Предоставить обоснование для всех мер защиты.
  • Проанализировать все возможные контрмеры.
  • Создание подробных отчетов для различных должностных групп, отвечающих за безопасность.

Аудит на основе анализа рисков предприятия проводится после "активного аудита", можно даже сказать, что "активный аудит", это первый, или даже, подготовительный этап Аудита на анализе рисков. Проведение аудита на анализе рисков можно разбить на следующие этапы:

  • Классификация объектов подлежащих защите по важности для предприятия и безопасности ИС. Определение привлекательности объектов защиты для взломщиков.
  • Определение возможных угроз и вероятные каналы доступа на объекты, подлежащие защите.
  • Определение существующих мер безопасности.
  • Определение уязвимостей в обороне и способов ее преодоления.
  • Составление ранжированного списка угроз.
  • Оценка ущерба от неправомерного доступа, атак отказа в обслуживании, сбоев оборудования.

    Величиной риска для каждого конкретного ресурса является произведение вероятности нападения на ресурс, вероятность реализации угрозы и ущерба от информационного вторжения. Сложение рисков всех составляющих ИС дает величину суммарного риска при существующей системе безопасности. Так же анализ отчета позволяет создать максимально эффективную систему обороны Вашего предприятия.

    Предлагаемая корпорацией Майкрософт концепция оценки рисков включает в себя следующие этапы:

    • Определение допустимого уровня рисков (то есть того уровня, который приемлем).
    • Оценка вероятности возникновения каждого риска.
    • Присвоение стоимости каждому риску.
    • Расстановка приоритетов.

    Для дальнейшей оценки используется матрица рисков:

    Стоимость риска
    Вероятность Низкая Средняя Высокая
    Низкая 4 3 3
    Средняя 4 2 2
    Высокая 3 1 1

    В зависимости от полученных оценок риск относится к одной из групп:

    • Высокая степень (1) Считается, что без устранения таких рисков, использование ИС может принести существенный урон бизнесу.
    • Существенный риск (2) Здесь необходима эффективная стратегия безопасности или которая поможет или полностью избежать, или максимально минимизировать последствия нападения.
    • Умеренный риск (3) Для избежания негативных последствий достаточно использовать стандартные процедуры управления рисками.
    • Несущественный риск (4) Усилия по управлению рисками существенной роли играть не будут.

    Рассмотрим порядок и основные составляющие, которые необходимо учитывать при системном анализе объекта защиты. Будем рассматривать корпорацию как объект защиты, состоящий из:

    • вида деятельности или класса решаемых задач, порождающих информацию с ограниченным доступом и необходимость ее защиты;
    • носителей информации различной физической природы (персонал, технические устройства, твердые носители, поля, химические среды и т. д.);
    • "обусловленных каналов связи между носителями информации, обеспечивающих функционирование объекта защиты;
    • протоколов хранения, обработки и обмена информацией между носителями;
    • функциональных параметров объекта защиты и его элементов, характеризующих режимы хранения, обработки и передачи информации с ограниченным доступом и их изменение во времени;
    • физического пространства, в котором располагаются носители и каналы связи (здания, сооружения, транспорт, территория и т. д.);
    • требований по обеспечению безопасности информации.

    Изучение поведения информации в носителях и ее движения по обусловленным каналам связи позволяет получить модель функционирования объекта защиты. Такая информационно-логическая модель дает возможность ответить на первые три вопроса, — Что? Где? Когда? Таким образом обеспечить наблюдаемость объекта защиты как объекта управления безопасностью.

    С позиций системного анализа этот ответ представляет собой не что иное, как модель всего объекта защиты, адекватность, полнота и точность которой будет, скорее всего, определяться разумной достаточностью.

    Ответ на вопрос КАК? будет рассмотрен при обзоре средств обеспечения информационной безопасности.



    3.3. РАЗГРАНИЧЕНИЕ (ИЕРАРХИЯ) УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ.

    Очевидно, что только теперь можно наиболее полно ответить на вопрос "От чего защищать?", т. е. определить действующие и предполагаемые угрозы, выявить наиболее вероятные каналы утечки информации.

    Разграничим угрозы безопасности объекта на внутренние и внешние.

    Внутренние угрозы безопасности объекта защиты:

    • неквалифицированная корпоративная политика по организации корпоративных информационных технологий и управлению безопасностью корпорации;
    • отсутствие должной квалификации персонала по обеспечению деятельности и управлению объектом защиты;
    • преднамеренные и непреднамеренные действия персонала по нарушению безопасности;
    • предательство персонала;
    • техногенные аварии и разрушения, пожары.

    Внешние угрозы безопасности объекта защиты:

  • негативные воздействия недобросовестных конкурентов и государственных структур;
  • преднамеренные и непреднамеренные действия заинтересованных структур и физических лиц (сбор информации, шантаж, искажение имиджа, угрозы физического воздействия и др.);
  • утечка конфиденциальной информации из носителей информации и обусловленных каналов связи;
  • несанкционированное проникновение на объект защиты;
  • несанкционированный доступ к носителям информации и обусловленным каналам связи с целью хищения, искажения, уничтожения, блокирования информации;
  • стихийные бедствия и другие форс-мажорные обстоятельства;
  • преднамеренные и непреднамеренные действия системных интеграторов и поставщиков услуг по обеспечению безопасности, поставщиков технических и программных продуктов, кадров.

    Проведенный анализ объекта защиты дает возможность провести наиболее обоснованный выбор организационных и технических средств защиты, как на этапе создания объекта, так и на этапе его эксплуатации и, таким образом, обеспечить свойство управляемости объекта защиты как объекта управления.

    Общими характеристиками для организационных и технических средств защиты являются стоимость защиты, стоимость внедрения, стоимость эксплуатации, время внедрения, степень защиты.

    Следовательно, модель объекта защиты как системы, действующие и предполагаемые угрозы, организационные и технические средства и методы защиты определяют содержание и порядок проведения деятельности по обеспечению безопасности корпорации.

    Рассмотрение основных элементов и свойств объекта защиты как системы позволяет обоснованно утверждать, что корпорацию можно представить как сложную систему с точки зрения обеспечения безопасности, так как ей присущи 4 характерных свойства, являющихся фундаментальными в определении сложной системы в терминах теории множеств. Это целостность и членимость, наличие обусловленных связей, определенная организация и наличие интегративных качеств.

    Системный анализ позволяет осуществить действительно комплексный подход к обеспечению безопасности, включая статическое и динамическое состояния объекта защиты, обеспечить полноту и непрерывность действий по обеспечению безопасности, разработать общий подход к проектированию комплексных систем управления безопасностью.

    Здесь под безопасностью следует понимать состояние противодействия действующим или предполагаемым угрозам.

    Угроза безопасности — совокупность преднамеренных и непреднамеренных действий, направленных на нарушение безопасности объекта защиты.

    Под управлением безопасностью при действующих или предполагаемых угрозах следует понимать осуществление действий, выбранных из множества возможных на основании определенной информации и направленных на поддержку или изменение степени безопасности с целью противодействия угрозам.



    3.4. МОДЕЛЬ НАРУШИТЕЛЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

    Как показывает статистика, теперь компьютерным преступником может быть:

    • конечный пользователь, не технический служащий и не хакер
    • тот, кто не находится на руководящей должности
    • тот, у кого нет судимостей
    • умный, талантливый сотрудник
    • тот, кто много работает
    • тот, кто не разбирается в компьютерах
    • тот, кого вы подозревали бы в последнюю очередь
    • именно тот, кого вы взяли бы на работу



    КОМПЬЮТЕРНЫМ ПРЕСТУПНИКОМ МОЖЕТ БЫТЬ ЛЮБОЙ!!!

    Типичный компьютерный преступник — это не молодой хакер, использующий телефон и домашний компьютер для получения доступа к большим компьютерам. Типичный компьютерный преступник — это служащий, которому разрешен доступ к системе, нетехническим пользователем которой он является. В США компьютерные преступления, совершенные служащими, составляют 95 процентов ежегодного ущерба, связанного с компьютерами. В странах СНГ (в частности в Украине) — около 75 процентов. В чем же причины таких нарушений?

    МОТИВАЦИЯ НАРУШИТЕЛЯ

    • личная или финансовая выгода
    • развлечение
    • месть
    • попытка добиться расположения кого-либо к себе
    • самовыражение
    • случайность
    • вандализм

    Но значительно больший ущерб, около 60 процентов всех потерь, наносят ошибки людей и инциденты. Предотвращение компьютерных потерь, как из-за умышленных преступлений, так и из-за неумышленных ошибок, требует знаний в области безопасности. Опросы, проводимые периодически в США, показывают, что именно служащие, имевшие знания в области компьютерной безопасности, были основной причиной выявления компьютерных преступлений.

    В последнее время особо ценными с точки зрения информационной безопасности стали рекомендации психологов относительно персонала. При приеме на работу необходимо прорисовывать психологический портрет потенциального сотрудника. Некоторые рекомендации по работе с персоналом звучат так:

    • обязательно подписать соглашения о неразглашении;
    • запрещать сотрудникам приносить на рабочие места любые программные средства;
    • запрещать хранение паролей в легкодоступных местах;
    • раз в полгода (приблизительно, по необходимости) проводить обучение сотрудников;
    • при приеме на работу предварительно изучить всю предыдущую деятельность кандидата на работу.

    Возможно, эти рекомендации звучат несколько наивно, однако выполнение их целесообразно.



    На предыдущую страницу На главную страницу На следующую страницу


    В начало библиотеки

  • Начало · Обучение · Методология · Литература · Аналитика · Контакты
    PageRank v