28.09.2015

Внутренние и внешние ИБ-угрозы. Комментарии ГК «Компьюлинк»



Игорь Гавриш, начальник отдела информационной безопасности ГК «Компьюлинк», в обзоре PCWeek «Внутренние и внешние ИБ-угрозы: есть ли смысл в их разделении?» рассказывает о разделения ИБ-угроз на внешние и внутренние, технологиях и инструментах для противодействия угрозам. 
     
«Сегодня при классифицировании и моделировании угроз ИБ организациями охватываются и внешние и внутренние угрозы ИБ, соответственно, разделять эти два вида источников в рамках построения или модернизации системы информационной безопасности стало не актуально. Имеет смысл разделять внешние и внутренние угрозы лишь для обозначения класса применяемых для противодействия им технических решений.

Ко внешним угрозами ИБ относят внедрение шпионских и разрушающих программ (вирусов). Эксплуатация уязвимостей сетевой защиты для взлома программной защиты, перехват конфиденциальной информации, кодов, паролей, блокирование работы пользователей в результате DDoS-атак и т.п. – результаты работы внешних нарушителей. 

Ко внутренним угрозам ИБ относят действия «инсайдеров», обладающих доступом к информационным системам компании – кражу и утечку конфиденциальной информации (в том числе коммерческой тайны, персональных данных).

Внешние нарушители ИБ обладают очень ограниченной информацией и меньшим уровнем доступа к информационным системам, чем внутренние нарушители. Поэтому всегда более опасен нарушитель, находящийся внутри компании, – «инсайдер», и более опасны внутренние угрозы. Даже если внешний нарушитель прибегнет к «помощи» работника компании, опять-таки возникнет прецедент наиболее опасной внутренней угрозы. 

Всем известные антивирусные программы, традиционно применяемые для защиты от вредоносного программного обеспечения, межсетевые экраны, средства обнаружения и предотвращения вторжений, а также анализа уязвимостей, организация защищенных каналов связи и шифрования хранимой и передаваемой информации. Многофакторная аутентификация также активно используется большей частью компаний для защиты от внешних источников угроз. 

Из наиболее эффективных инструментов для защиты от внутренних угроз нужно отметить такие классы решений как DLP (Data Loss Prevention, предотвращение утечки информации), которые стали применяться вместе со средствами контроля портов и устройств ввода-вывода, поведенческого анализа, web-фильтрации, системы мониторинга (security information and event management – SIEM), а также решения класса Identity Management. 

Организационные меры, предпринимаемые компаниями, включают в себя, как минимум, назначение ответственного за ИБ в компании, контроль исполнения положений нормативно-правовых актов в области ИБ (НПА) пользователем по работе с информационными системами, регламентов и инструкций работы с подсистемами ИБ. Комплект НПА объединяют в рамках единой политики ИБ. В рамках выполнения требований законодательства по защите персональных данных, в структуре НПА предусматривают дополнительные документы, запрашиваемые регуляторами в ходе проведения проверок. 

Для обеспечения защиты от внутренних нарушителей в трудовых соглашениях с работниками компании прописывают пункты об ответственности за разглашение конфиденциальной информации, а также вводят режим коммерческой тайны согласно законодательству, позволяющий защитить интересы работодателя. 

Если же говорить об организационных мерах, способствующих защите конфиденциальной информации от разглашения лицами, не являющимися сотрудниками компании, то в первую очередь это заключение соглашений с контрагентами о неразглашении конфиденциальной информации, ставшей известной представителям контрагента в ходе договорных отношений. Для обеспечения доказуемости такого рода разглашений необходимо, опять же, ввести в компании режим коммерческой тайны, потому что в противном случае, невозможно будет доказать, что являлось информацией, составляющей коммерческую тайну, а что – нет. 

Современные кибератаки проводятся не случайно. У них есть свой заказчик, бюджет, выбранные векторы атаки на информационные ресурсы компании. Для противостояния кибератакам компании ведут работу одновременно по направлениям экономической, физической и информационной безопасности. 

В рамках организации корпоративной ИБ и эффективного противодействия кибератакам должна быть документально оформлена и воплощена стратегия защиты, должны сводиться и оперативно обрабатываться результаты работы технических решений для защиты как от внешних, так и от внутренних угроз, должны быть определены в штатном расписании роли ответственных за эксплуатацию комплексных систем ИБ. 

Только небольшое количество компаний сейчас имеют проработанную стратегию, используют такие комплексные решения, как сбор и корреляция событий ИБ (из источников внешних и внутренних угроз), комбинированные решения сетевой безопасности (защиты от внешних и внутренних угроз). 

Комплексный подход к организации корпоративной ИБ – сущность достаточно сложная, и система менеджмента ИБ для обеспечения комплексности должна быть частью общей системы менеджмента компании и должна быть основана на управлении бизнес-рисками для создания внедрения, эксплуатации, мониторинга, анализа, поддержания и улучшения ИБ. 

Также, нельзя забывать, что обеспечение ИБ – непрерывный процесс. Пока существует сама информация, требующая защиты, система менеджмента ИБ (СМИБ) должна основываться на известной модели PDCA (Plan-Do-Act-Control; «планирование – осуществление – проверка – действие»). 

На этапе «планирование» осуществляется оценка реальной вероятности нарушения безопасности защищаемых активов с учетом доминирующих угроз и уязвимостей, а также последствий, связанных с этими активами. И конечно, оценивается результативность средств управления, внедренных в настоящее время. За этим следует выбор контрольных целей и средств управления для обработки рисков. 

На следующем этапе − «осуществление» − производится внедрение либо модернизация выбранных средств управления; определяется способ измерения результативности и потом применяется на практике с целью верификации соответствия требованиям безопасности. 

Этап «проверка» включает в себя регулярные проверки результативности СМИБ, проверку оценок риска через запланированные интервалы и проверку остаточных рисков. Указанные шаги должны подкрепляться регулярными проверками СМИБ руководством, чтобы гарантировать адекватность ее области применения и идентификацию улучшений в процессах СМИБ. Входные данные для проверки руководством должны включать результаты измерений результативности и проверок СМИБ. Выходные данные проверки руководством должны включать все решения и действия, относящиеся к обновлению плана оценки и обработки риска, улучшению способов измерения результативности средств управления.

На этапе «действие» осуществляется внедрение либо модернизация идентифицированных улучшений в СМИБ. 

Модель цикличная, и после этапа «действие» мы возвращаемся на этап «планирование» и всё повторяется заново. Длительность такого «цикла» может составлять несколько лет и определяется размерами и ресурсными возможностями компании по осуществлению всех вышеописанных мероприятий».