Развитие средств и методов защиты информации в АИС зарубежных стран с учетом современных вызовов (на примере США)

Петр Валерьевич Романовцев

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Аннотация

В этой статье изучены некоторые аспекты противодействия угрозам информационной безопасности в автоматизированных информационных системах (АИС) США. Рассмотрены меры по предотвращению нарушений информационной безопасности в АИС с помощью SI-EM- и DLP-системы. Проанализирован подход США к выявлению инсайдеров в организаци-ях различных форм собственности.

Ключевые слова: США, автоматизированные информационные системы, информационная безопасность, нулевое доверие, инсайдер

Annotation

The article examines some aspects of countering threats to information security in the US au-tomated information systems (AIS). Measures to prevent violations of information security in AIS using SIEM and DLP systems are considered. The US approach to identify insiders in organizations of various forms of ownership is analyzed.

Key words: USA, automated information systems, information security, zero trust, insider

Введение
В современном мире Соединенные Штаты являются главным игроком в развитии средств и методов защиты информации в автоматизированных информационных системам (Automated information systems — АИС). Особенно отчетливо это отражается в хорошо струк-турированной нормативной правовой базе, регулирующей вопросы обеспечения безопасно-сти собственного киберпространства.
Киберпространство быстро расширяется за счет ввода новых информационных систем (ИС), причем объем оцифрованных данных, участвующих в обмене между ними, стремитель-но растет. В киберпространстве данные могут свободно распространяться, обрабатываться, редактироваться и анализироваться с различных точек зрения. Подобная деятельность, спо-собствующая созданию актуальных технологических и информационных продуктов, в насто-ящее время развивается в режиме постоянного ускорения.
Появление новых услуг, предоставляемых через посредство ИС, в большей степени обусловлено использованием искусственного интеллекта, нежели параметрами самой систе-мы. Данные, которые не зависят от физических либо иных характеристик ИС, создают дополнительные возможности для пользователей. Доступность и эффективность распространения данных для последующей надлежащей обработки обеспечиваются комплексами систем связи. В киберпространстве развиваются именно те варианты связи, которые реализуют оптимальное качество передачи данных.
Безопасность информационных систем в последнее время стала главной проблемой в совершенствовании процессов информатизации для абсолютно разных отраслей экономики и государственного управления. Актуальными аспектами продолжают оставаться угрозы утечки информации и внедрения разнообразных вирусов. Автоматизированные информационные системы открыли новые возможности для организации межрегиональной информационно-хозяйственной деятельности. При этом они стали уязвимы для злоумышленников из числа, как персонала компаний, так и тех, кто действует из-за пределов организации.
К наиболее важным задачам обеспечения безопасности региональных инновационных кластеров относятся противодействие проникновению вирусов, краже информации, снижению эффективности работы технологических комплексов из-за использования их ресурсов злоумышленниками. Осложняет эту работу высокая скорость модификации угроз и несовершенство законодательной базы. В распределенных системах с удаленным доступом на первый план выдвинулись вопросы защиты обрабатываемой и передаваемой информации.
Общим при развертывании АИС в различных отраслях является строгое соблюдение требований к защите конфиденциальных данных, которые призваны предотвратить их утечку или искажение. Защита информации в автоматизированной системе должна способствовать исключению воздействия угроз различного происхождения (техногенные аварии, вредоносные программы, действия хакеров, кража данных инсайдерами с целью продажи или шпионажа и т.п.). Реализация комплекса мер по защите данных на аппаратном и программном уровне позволяет существенно снизить воздействие вышеуказанных рисков.

Политика противодействия угрозам информационной безопасности в АИС США

Программа непрерывной диагностики и смягчения последствий инцидентов (Continuous Diagnostics and Mitigation — CDM) позволяет федеральным агентствам США отслеживать уязвимости и угрозы своих информационных систем в режиме реального времени. Эта повышенная ситуационная осведомленность помогает им расставлять приоритеты в действиях по смягчению рисков кибербезопасности, отслеживать киберинциденты и реагировать на них.
Выполняя возложенные на него действующим законодательством обязанности, Агентство кибербезопасности и инфраструктурной защиты США (Cybersecurity and Infrastructure Security Agency — CISA) на постоянной основе сканирует доступные в Интернете адреса и сегменты систем федеральных ведомств на предмет обнаружения уязвимостей.
Для того чтобы служба сканирования уязвимостей CISA была эффективной, она, в максимально возможной степени, стремится отслеживать поведение пользователей в федеральных ИС. В этих целях CISA расширяет службу сканирования уязвимостей, в том числе в облачной инфраструктуре и динамически выбранных адресах потенциальных источников угроз. Для повышения эффективности этой работы каждое федеральное ведомство обязано уведомлять CISA о любых обнаруженных уязвимостях и ежедневно направлять отчеты на электронный почтовый адрес vulnerability@cisa.dhs.gov.
На основе проведенных в 2022 г. исследований, аналитики RAND рекомендовали ми-нистерству обороны США наладить управление рисками в цепочке поставок вооружения и военной техники. Это было связано с планами Пентагона перейти к работе в рамках страте-гии «нулевого доверия», как ключевого элемента обеспечения кибербезопасности на период до 2027 г. .
Исследование имело целью направить министерство на путь достижения так называе-мого «целевого» уровня безопасности к назначенному финансовому году. Директор по ин-формационным технологиям (DOD Chief Information Officer) министерства обороны Джон Шерман (John Sherman) заявил, что документ является признанием необходимости «защи-щаться по-другому». Агентство оборонных информационных систем (Defense Information Systems Agency — DISA) работает над развитием программы безопасности с нулевым уров-нем доверия под названием Thunderdome.
В преддверии утверждения стратегии, министерство обороны запросило отзывы у от-раслевых поставщиков облачных сервисов, включая Microsoft, DISA и др. Как ранее объяснял глава кибервойск Пентагона Дэвид Маккеун (David McKeown), система с «нулевым довери-ем» создаст уровни безопасности с определенным набором возможностей.
Первоначально этот набор включал перечень из 90 позиций, компоненты для которых в пределах того, что считается целевым уровнем «нулевого доверия», должны быть созданы к концу 2027 г.. После чего перечень может быть дополнен еще 62 пунктами. Они, по словам Д. Маккеуна, выведут США на более продвинутый уровень «нулевого доверия».
Выступая перед журналистами на круглом столе, Брайан Херманн (Brian Hermann), глава Управления кибербезопасности и аналитики DISA (DISA’s Cyber Security and Analytics Directorate), сказал, что ему нравится подход министерства обороны к внедрению «модели зрелости» (maturity model) для «нулевого доверия». DISA хорошо подготовлена к тому, чтобы уложиться в сроки внедрения новой концепции и программы Thunderdome.
В настоящее время прототип Thunderdome функционирует в штаб-квартире DISA. Кроме того, Б. Херманн сказал, что агентство готово подключить пользователей из Пентагона ко Дню благодарения в 2023 г. По его словам, пользователи уже видят улучшение работы с Thunderdome, поскольку маршрутизация стала проще и более понятна. По словам Б. Херман-на, производительность с точки зрения конечного пользователя, а также меры кибербезопасности входят в число областей, которые будут учитываться при принятии объективного ре-шения в конце 2023 г.
С его слов, сначала были протестированы возможности программы в лаборатории. Причем испытания проходили в открытом и закрытом контуре. Пентагон обнародовал все-объемлющую структуру для усиления мер защиты военных компонентов от текущих рисков кибербезопасности. Стратегия и дорожная карта министерства обороны с «нулевым доверием», состоящая из 45 мероприятий и 152 направлений деятельности определяют пути достижения как целевых, так и повышенных уровней киберзащиты в период с 2023 по 2027 гг.
Кроме того, ответственным за обеспечение безопасности информационных систем Пентагона предложено определить порядок действий для достижения «нулевого доверия» при:
— внедрении улучшений в существующую сеть;
— использовании совместимых решений коммерческих облачных провайдеров;
— создании собственного облака с нуля.
Независимо от выбранного порядка действий, стратегия предусматривает достижение целевого уровня «нулевого доверия» к запланированному году. Как заявили в Пентагоне, что по сравнению с сегодняшним днем, когда противник может провести кибератаку, часто с минимальным уровнем обнаружения, при защите с «нулевым доверием» это будет сделать не-возможно. Глава военного ведомства и директора агентств несут персональную ответственность за реализацию стратегии «нулевого доверия».

Меры по предотвращению нарушений информационной безопасности АИС США

Меры по предотвращению нарушений информационной безопасности разрабатывают-ся, как правило, с учетом назначения информационной системы. Соответственно могут ис-пользоваться разнообразные методы защиты и их комбинации. При построении систем ИБ в АИС одновременно могут использоваться методы:
— повышения уровня достоверности данных;
— контроля физического доступа к оборудованию и сетям;
— идентификации и аутентификации пользователей.
Они могут носить, как организационный, так и аппаратно-программный характер. Организационные методы защиты информации включают в себя системные и административные.
К системным методам относятся:
— повышение степени надежности оборудования, его выбор с минимальным риском выхода из строя, использование специального оборудования для минимизации риска потери данных при аварийном отключении электроэнергии;
— резервное копирование информации на внешних серверах для предотвращения ошибок в результате системных сбоев или физического повреждения оборудования;
— ранжирование пользователей с предоставлением разных уровней доступа для снижения вероятности кражи, изменения и уничтожения информации;
— структурирование обработки данных, совершенствование сопутствующих процессов, формирование специализированных кластеров для работы с определенными типами данных.
Руководители ведомств и подразделений безопасности несут ответственность за разработку и внедрение методов административной защиты. Среди административных методов защиты информации можно выделить:
— утверждение внутренних правил, регулирующих обработку данных и доступ в АИС;
— создание режима служебной тайны, введение положений об ответственности за ее разглашение в трудовых договорах;
— обучение и повышение мотивации персонала;
— улучшение эргономики и условий труда для устранения потери данных и системных сбоев из-за отвлечения внимания и усталости работников.
В этой части организации распределяются по следующим категориям:
— частная компания, которая не работает с информацией, содержащей государственную тайну, и не является оператором персональных данных. Разрешается использовать любые методы, удобные для организации;
— частная компания, которая является оператором персональных данных или работает с данными, содержащими государственную тайну. Требования к методам защиты информации в АИС устанавливаются действующим законодательством и положениями нормативной документации;
— государственное предприятие или государственный орган. Требования к применению организационных методов устанавливаются на уровне министерств и ведомств.
Внедрение и эксплуатация аппаратных и программных методов защиты определяются политикой ведомств и компаний, отражаемой в нормативных актах органов ИБ. Методы программного уровня поддерживают безопасность данных при обработке в АИС и их передаче по различным каналам связи.
Аппаратные методы предусматривают использование высокоточного контроля и технических средств для дублирования функций программной защиты информации. Такие инструменты должны обнаруживать угрозы, которые не могут быть выявлены программно.
Основные группы задач, выполняемых аппаратными и программными методами за-щиты:
— трехуровневое резервирование и дублирование данных, формирование удаленных баз данных;
— блокирование ошибочных или преднамеренных вредоносных операций;
— защита информации от вредоносных программ;
— защита от несанкционированного доступа к данным;
— шифрование данных методами криптографической защиты;
— контроль доступа, аутентификация пользователя.
В дополнение к этим методам активно внедряются SIEM и DLP-системы в качестве интегрированных методов защиты информации.
SIEM-системы (Security Information and Event Management) — решения, которые внедряются крупными компаниями для обеспечения комплексной защиты информации. Они напрямую не защищают от инцидентов, но обеспечивают оперативное уведомление о сбоях и нарушениях в работе программного обеспечения и оборудования. Полученные данные сравниваются с заданными значениями. При обнаружении отклонений SIEM отправляют уведомление, на основании которого соответствующие службы предпринимают необходимые действия.
Дополнительные функции таких систем включают протоколирование и ведение логов, что позволяет формировать доказательную базу для расследования преступлений и нарушений в области информационной безопасности. Система ведения журнала предусматривает создание системного учета, в который автоматически заносится информация о действиях пользователей. Такие журналы функционируют на основе программ-регистраторов, работающих независимо или как часть DLP-системы.
Ведение журнала обеспечивает контроль за использованием защищаемой информации, фиксируются неудачные и успешные попытки доступа к ней, а также записываются все остальные действия. Это позволяет накапливать статистическую базу для последующего аудита.
Кроме того, SIEMs обеспечивает аудит готовности системы к выполнению своих функций. Данные, полученные от SIEM, дают основания для внедрения нового программно-го обеспечения или изменения технологических параметров в АИС.
DLP-системы (Data Loss Prevention) предназначены для обеспечения максимальной за-щиты от несанкционированных действий пользователя, обеспечивая полную целостность и конфиденциальность защищаемых данных. Работа такой системы основана на способности отличать открытую информацию от конфиденциальной. Она отслеживает внутренний и внешний трафик и фиксирует события, связанные с копированием, передачей извне или рас-печаткой конфиденциальной информации. В таких случаях применяется блокировка с предупреждением пользователя. С DPL рекомендуется использовать методы контроля доступа и идентификации пользователя.
Формирование контроля доступа пользователей является необходимым для защиты информации. Контроль доступа обычно реализуется на организационном и программном уровне. Для этого создается система пропусков.
Обработка информации повышенной важности может производиться в специально выделанной зоне с доступом по электронному пропуску. Рабочие станции в таких зонах работают без подключения к сети общего пользования. Определенные процессы могут выполняться на выделенных рабочих станциях, которые не подключены к сети. Это подразумевает также создание отдельных кластеров для печати.
Методы идентификации пользователей являются еще одним ключевым системным решением для обеспечения безопасности данных в АИС, т.е. это допуск только авторизованных пользователей к работе с информацией.
Для аутентификации могут использоваться различные методы, в зависимости от степени ценности защищаемых данных, включая:
— логин и пароль. Аутентификация пользователя осуществляется путем ввода этих учетных данных, которые должны быть в определенном формате. Устанавливаются требования к частоте смены логина и пароля, предусматриваются дисциплинарные меры за передачу этих данных третьим лицам или за вход в систему под чужим именем;
— диалоговый режим. Для того чтобы распознать конкретного пользователя, в систему вводится набор определенных данных. Затем ему придется ответить на изменяющиеся вопросы, чтобы войти в систему;
— биометрический метод. Распознавание с помощью специального оборудования по отпечаткам пальцев и сетчатке глаза;
— аутентификация по чипу. Информация, идентифицирующая пользователя, содержится на чипе и считывается при входе в систему. Эта информация может быть за-шифрована. В этом случае ключ шифрования используется в качестве дополнительно-го идентификационного параметра. Максимальное снижение риска обеспечивается аппаратными методами контроля доступа, исключающими подделку или перехват па-ролей. Считается, что наибольшая эффективность достигается с помощью биометрии.
Могут быть также применены следующие варианты ограничения доступа пользователя к информации:
— в соответствии с уровнем конфиденциальности. Устанавливаются метки секретности для маркировки информационных массивов. Каждый пользователь получает до-ступ к данным не выше одобренного ему уровня;
— согласно специальным спискам. Каждому файлу, базе данных, программе или дру-гому информационному объекту присваивается список авторизованных пользователей;
— в соответствии с матрицей полномочий. Используется двумерная матрица, внутри которой каждому пользователю присваивается идентификатор. Этот идентификатор записывается в столбец. В строке матрицы записываются идентификаторы информационных элементов. Допуск разрешен, когда оба идентификатора совпадают;
— в соответствии с принципом мандата. Информационному элементу, подлежащему защите, присваивается метка. Аналогичная метка должна быть включена в запрос на предоставление доступа. Недостатком этих методов является уязвимость перед инсайдерами, которые могут подделать личность других пользователей. Для защиты от них должна быть внедрена система ведения журнала.
Система DLP может быть настроена в соответствии с индивидуальными потребностями организации и обеспечивать комплексную защиту информации. При организации защиты информации в региональном инновационном кластере необходимо оценить возможность проявления конкретных типов угроз и размер потенциального ущерба, который понесут пользователи и владельцы АИС, если угроза будет реализована.

Выявление инсайдерской угрозы
Соединенные Штаты лидируют по количеству выявленных инсайдеров, угрожавших безопасности конфиденциальной информации, циркулирующей в АИС госструктур и частных компаний. Так, в одном из полугодовых отчет о безопасности компания NortonLifeLock Inc., ранее известная как Symantec Corporation, отметила, что, по меньшей мере, половина американских компаний, так или иначе имела дело с инсайдерами. Согласно статистике, 81,7 % нарушений совершаются сотрудниками компании, имеющими доступ к информационной системе, и только 17,3 % — третьими лицами (включая 1% случайных лиц).
Под инсайдерскими угрозами подразумеваются отдельные лица, являющиеся обычно сотрудниками организации. Но это также могут быть бывшие работники, подрядчики и парт-неры . Эти лица способны злоупотреблять доступом к сетям и активам, чтобы раскрывать, изменять и удалять конфиденциальную информацию.
Согласно определению Национальной целевой группы по инсайдерским угрозам (National Insider Threat Task Force — NITTF), инсайдером считается любое лицо, имеющее ав-торизованный доступ к ресурсам организации, включая персонал, объекты, информацию, оборудование, сети или системы. NITTF оценивает инсайдерскую угрозу как «риск того, что инсайдер будет использовать свой авторизованный доступ сознательно или невольно, чтобы причинить вред своей организации» .
Информация, рискующая быть скомпрометированной, включает сведения о методах обеспечения безопасности в организации, данные о клиентах и сотрудниках, учетные данные и конфиденциальные финансовые записи. Природа инсайдерских угроз такова, что традиционные превентивные меры защиты информации часто неэффективны.
Меры кибербезопасности обычно фокусируются на угрозах извне, а не на деструктивных факторах, исходящих от ненадежных людей внутри организации. Инсайдерские угрозы являются источником многих потерь в критически важных отраслях инфраструктуры.
Инсайдерская угроза рассматривается, в том числе и как риск нанесения ущерба национальной безопасности Соединенных Штатов. Однако нарушения в работе, например информационной сети, могут быть и результатом небрежности или несчастного случая . Инсайдеры совершают преднамеренные или непреднамеренные подрывные и иные вредоносные действия во всех секторах критической инфраструктуры. Основной их целью, как правило, является кража или уничтожение данных, а также компрометация сетей либо информационных ресурсов.
С учетом накопленного на сегодняшний день опыта различают следующие виды инсайдеров :
1. Незлонамеренные инсайдеры — те пользователи, которые выполняют действия, не имеющие злого умысла, однако в состоянии причинить ущерб организации. Такие действия могут включать ошибки пользователя, потерю ноутбука компании, выполнение работы с помощью несанкционированных инструментов;
2. Злонамеренные инсайдеры осознают свои действия и их негативные последствия для организации, но продолжают следовать выбранному курсу. Пользователи, покидающие организацию, могут собирать информацию, которая, по их мнению, пригодится им на будущей работе. Хотя они часто осознают, что их действия нарушают политику безопасности компании. На самом высоком уровне могут находиться сотрудники, занимающиеся корпоративным шпионажем;
3. Имитированный инсайдер не являться сотрудником госструктуры или компа-нии, но использует законные учетные данные, как если бы он был ее сотрудником. Это про-исходит, когда учетные данные были угаданы или захвачены в результате целевой атаки.
Сложность обнаружения и реагирования на инсайдерские угрозы не позволяет принимать решения или меры, способные гарантированно влиять на снижение рисков информационной безопасности. Поэтому организациям рекомендуется применять многоуровневый под-ход, при котором задействуется целый ряд средств контроля безопасности и процессов.

Для этого организации должны :
— проводить регулярные оценки рисков для понимания потенциального воздействия инсайдерских атак;
— проводить тестирование на проникновение не реже одного раза в год;
— обеспечивать регулярную подготовку по вопросам безопасности для всех сотрудников;
— организовывать управление учетными записями и привилегиями сотрудников и подрядчиков;
— проводить круглосуточный мониторинг сети и конечных точек для обнаружения аномального поведения.
В настоящее время Министерство внутренней безопасности США (МВБ США) занято исследованиями в данной области и разработкой программы по радикальному сокращению слабых элементов информационных систем перед инсайдерской угрозой.
МВБ США выделило несколько поведенческих индикаторов сотрудников для прогнозирования угроз:
— стремление получить удаленный доступ к сети во время отпуска либо болезни;
— работа осуществляется сверхурочно без разрешения руководства;
— избыточный рабочий энтузиазм сотрудника и работа в выходные;
— копирование засекреченных материалов организации;
— интерес к вопросам, выходящим за рамки обязанностей сотрудника;
— злоупотребление наркотиками или алкоголем, финансовые трудности, азартные игры, незаконная деятельность, плохое психическое здоровье или агрессивное поведение.
Следует внимательно относиться и к таким моментам, как неожиданное получение из-быточного дохода, необычные зарубежные поездки, спонтанный уход с работы. Знание и понимание этих индикаторов может помочь службам безопасности совместить индивидуальные характеристики сотрудника и его поведенческие особенности в контексте оценки инсайдерской угрозы.
Для того чтобы снизить вероятность возникновения непреднамеренных либо преднамеренных инсайдерсих угроз, рекомендуется создать продуктивную и здоровую рабочую среду. Некоторые контрмеры включают в себя:
— обучение сотрудников распознаванию фишинга и других мошеннических операций в социальных сетях;
— постоянную наработку и поддержку надлежащего уровня знаний, навыков и умений у сотрудников;
— повышение удобства использования инструментов безопасности;
— повышение удобства использования программного обеспечения для снижения вероятности возникновения системных человеческих ошибок;
— повышение осведомленности о непреднамеренной инсайдерской угрозе;
— внедрение эффективных методов обеспечения безопасности доступа в систему (например, двухфакторная аутентификация).
В рамках поиска перспективных путей противодействия растущему числу внутренних угроз МВБ США поставило ряд НИОКР по следующим шести направлениям :
1. Сбор и анализ информации (мониторинг);
2. Обнаружение (интерпретация стимулов и данных);
3. Сдерживание (предотвращение);
4. Защита (поддержание деятельности исполнительной власти и экономики);
5. Прогнозирование (предвидение будущих угроз и атак);
6. Реагирование (снижение возможностей, мотивации и морального духа у инсайдеров).

Выводы
Итак, под безопасностью АИС понимается защита от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования. Целью любых мер по организации безопасности автоматизированной информационной системы является защита ее владельца и законных пользователей от причинения им материального или морального ущерба.
Для того чтобы применять методы защиты информации в автоматизированных системах, важно при разработке программного обеспечения дифференцировать объекты защиты таким образом, чтобы наиболее дорогие и сложные подходы безопасности использовались по отношению к объектам повышенной ценности.
Методы информационной безопасности в АИС должны применяться ко всему массиву данных. Реализация комплекса мер по защите на аппаратно-программном уровне позволит снизить уровень рисков для безопасности информации. Наиболее важными проблемами без-опасности остаются вопросы проникновения вирусов, кражи информации, снижения эффективности работы компьютеров из-за использования их ресурсов злоумышленниками, высокий уровень модификации угроз и несовершенство законодательной базы.
Для обеспечения комплексной защиты АИС применяются SIEM- и DLP-системные решения. SIEM-системы обеспечивают оперативное уведомление о сбоях и нарушениях в работе программного обеспечения и оборудования, а DLP-системы предназначены для поддержания максимальной защиты от несанкционированных действий пользователей, обеспечения целостности и конфиденциальности данных.
Назначение и механизм функционирования АИС определяют этапы построения си-стемы ее защиты. Эта деятельность должна быть структурирована и разделена на стадии:
— планирования;
— внедрения;
— управления;
— ежедневная работа по поддержанию информационной безопасности.
Для отдельных сегментов АИС политика информационной безопасности должна подбираться индивидуально. Это зависит от конкретной технологии обработки информации, используемого программного и аппаратного обеспечения, местоположения и т.п.
Для борьбы с инсайдерскими угрозами организациям необходимо рассматривать возможность разработки проактивной защиты, способной смягчить последствия вероятного ущерба. Этот подход поможет селектировать конкретные внутренние угрозы, характерные для той или иной рабочей среды, обнаруживать и оценивать риски, находить варианты управления ими.
Некоторые методы сдерживания инсайдеров включают в себя:
— развертывание системы безопасности, ориентированной на контроль перемещения данных;
— использование позитивной социальной инженерии;
— активизацию применения централизованного журнала обнаружения эксфильтрации данных;
— внедрение идентификации всех активов (например, карты доступа, пароли, регулярная инвентаризация);
— контроль частоты посещения различных сайтов, которые могут указывать на снижение ответственности за результаты труда, недовольство работой и потенциальные криминальные наклонности (например, просмотр сайтов с порнографией и садистским контентом);
— отслеживание необычных скачков сетевого трафика, ненадлежащего использования средств шифрования;
— проведение периодических проверок для выявления ненадлежащего предоставления доступа.
Американские эксперты в области информационной безопасности рекомендуют также организациям различных форм собственности использовать агитационную информацию в качестве инструмента для совершенствования борьбы с инсайдерскими угрозами.

Список литературы:
1. DOD zero-trust strategy nears release Posted. 2022. November 8. — https://www.insidedefense.com.
2. Ensuring the security of an automated information system in a regional innovation cluster. 2021. November 11. — https://www.sciencedirect.com.
3. Insider Threat Mitigation. 2020. November 18. — https://www.dhs.gov.
4. Science and Technology // Department of Homeland Security. 2021. January. — https://www.dhs.gov.
5. Malik J. What is an insider threat? Insider threats explained. 2020. January 14. — https://sybersecurity.att.com.
6. Identify and eliminate insider threats before they damage your business. 2021. March. — https://www.redscan.com.
7. Science and Technology // Department of Homeland Security. 2021. January. — https://www.dhs.gov.