Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
Анализ остаточной информации в компьютерных системах
Булгаков Д.А.
выпускник группы CISO-09
Школа IT-менеджмента
РАНХиГС при Президенте РФ
Основу любой современной компьютерной системы (КС) в маленьких компаниях и больших корпорациях составляют компьютеры, представляющие собой автоматизированные рабочие места пользователей, которые предназначены для выполнения ключевых бизнес-процессов в компании. Во время, когда пользователь работает на компьютере, в нем постоянно обрабатывается различная информация о его деятельности, накапливаются остаточные данные, которые могут быть как персональными данными пользователей, конфиденциальной информацией, так и временные файлы, необходимыми для работы различных программ и приложений. Со всеми этими данными связаны две основные проблемы:
- возможность несанкционированной утечки персональных и конфиденциальных данных, несущая непосредственный ущерб информационной безопасности организации;
- нерациональное использование ресурсов компьютерной системы, поскольку остаточная информация, содержащая «мусор», занимает лишнее место на жестком диске и увеличивает время доступа к информации, и в целом замедляет работу операционной системы.
Таким образом, контроль присутствия остаточной информации в КС организации, ее своевременном удалении/уничтожении, является одной из актуальных задач при обеспечении таких ключевых составляющих информационной безопасности организации, как конфиденциальность, целостность и доступность информации.
Целью данной работыявляется изучение остаточной информации, предлагается подход к мониторингу и аудиту остаточной информации, изучение методов, применяемых в компьютерной криминалистике, а также рекомендация по гарантированному удалению/уничтожению информации.
В частности, для повышения уровня безопасности в КСорганизации и защиты от внутреннего злоумышленника, предлагается подход к мониторингу и аудиту остаточной информации в КС, обеспечивающий выполнение следующих функций на трех этапах:
Этап 1 – Сбор данных (мониторинг):
Формирование списка файлов и ключевых слов, по которым будет осуществляться поиск остаточной информации в КС.Формирование списка областей для поиска остаточной информации на компьютере пользователя;
Поиск остаточной информации по сформированному списку в указанных областях компьютера;
Идентификация обнаруженной остаточной информации;
Этап 2 – Анализ данных аудита:
Ранжирование выявленной остаточной информации по степени важности и оценка рисков от потенциальной утечки;
Этап 3 – Выработка рекомендаций и формирование аудиторского отчета:
Формирование отчета по результатам аудита и выдача рекомендаций администратору безопасности.
В свою очередь, в случае преднамеренного удаления информации, специалистами применяются методы компьютерной криминалистики.
Основным направлением компьютерной криминалистики является исследование машинных носителей с целью выявления остаточной информации в КС, а также в большинстве случаев для формирования судебных доказательств при проведении судебных компьютерных и компьютерно-технических экспертиз. Условно к компьютерной криминалистике можно отнести и смежные области, в которых исследование компьютерной информации имеет важную рольпри расследование инцидентов информационной безопасности в организациях и исследование носителей информации в военных (боевых) целях и др.
С другой стороны, в деятельности организаций возникают ситуации, когда в целях соблюдения конфиденциальности необходимо гарантированное удаление информации с ее носителей.
Например, известно множество прецедентов, когда, например, на жестких дисках компьютеров, списанных при проведении модернизацииКСорганизации, которые в дальнейшем были проданы, оставалась конфиденциальная информация: персональные данные сотрудников (номера лицевых счетов в банке, кредитных карточек, размер заработной платы), финансовые и другие внутренние документы. Согласно результатам исследований компаний, занимающихся восстановлением данных, около 75% продаваемых на «барахолках» жестких дисков содержат информацию, которую несложно восстановить при помощи простых программ для восстановления данных. Очевидно, что использованиевосстановленной конфиденциальной информации с жестких дисков КС, и из содержимого выброшенных в мусорную корзину «битых» дискет и компакт-дисков хороший специалист от конкурирующей фирмы сможет извлечь много полезной информации о финансовой ситуации в компании, вычислит перспективных клиентов, сориентируется относительно планов по развитию и т.п., и остается только догадываться, к каким убыткам и упущенной выгоде для организации в будущем это может привести.
- Войдите на сайт для отправки комментариев