Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
Практика обеспечения информационной безопасности предприятий малого и среднего бизнеса
Кущенко С.В.
выпускник группы MBA CIO-18
Школа IT-менеджмента
АНХ при Правительстве РФ
Ротшильд
Аннотация
Статья предназначена для руководителей подразделений IT и информационной безопасности. Практическая часть статьи основана на опыте автора в руководстве проектом внедрения системы информационной безопасности на предприятии среднего бизнеса, а также разработке и апробации на менеджменте одной из лизинговых компаний практических рекомендаций по защищенной работе руководителя. Предлагаемые методики и практические решения могут быть использованы при расследовании компьютерных преступлений. Цель статьи – показать основные угрозы для предприятий малого и среднего бизнеса и рассмотреть методики по их преодолению.
Состояние и особенности компьютерной преступности в России
Статистика управления «К» МВД РФ свидетельствует о постоянном росте ущерба, наносимого компании внешними воздействиями, такими как компьютерная преступность или влияние государства через нормативные акты и законы (в частности федеральный закон «О персональных данных»). В наше время этот ущерб становится одним из наиболее опасных для компании. Он не просто существует, а уже сильно влияет на бизнес и до кризиса составлял почти 2 млн. руб. А по результатам 2009 года – 17 млн. рублей! Поэтому можно сказать, что безопасность – самая серьезная проблема, с которой столкнулись предприятия малого и среднего бизнеса.
А актуальна ли рассматриваемая проблематика обеспечения информационной безопасности предприятий малого и среднего бизнеса? Действительно, многие Российские компании задумываются над тем, стоит ли вообще проводить расследование. Однако, следует принимать к сведению, что если произойдет, например, квартирная кража, то потерпевший конечно же обратится в милицию. Информация – это такая же собственность, как и Ваши деньги, Ваше имущество. Владея информацией, Вы владеете своим бизнесом.
К сожалению, Российские компании, занимающиеся информационной безопасностью, обычно уделяют внимание лишь технической и организационной стороне, а расследование ИТ-инцидентов обходят стороной. Проведя расследование и наказав преступников, Вы обезопасите свой бизнес в будущем. Преступники будут знать, что остаться безнаказанным им уже не удастся и подобные действия будут преследоваться по всей строгости закона. Важно отметить, что судебные методы на практике убедительнее внесудебных и к тому же безопасны для компании – иначе можно стать новым «Чичваркиным».
Если говорить о рынках, то рынок информационной безопасности в кризис увеличился, рынок оборудования сократился в объемах в 3 раза, а сам ИТ-рынок откатился к уровню 2005 года. Однако, бюджеты компаний на информационную безопасность продолжают расти в геометрической прогрессии, но количество инцидентов становится только больше. Это означает, что стандартный подход к информационной безопасности «защита, защита, новая защита» устарел. Необходимо развивать информационную безопасность в ключе ответственности, закона и права.
Проведение расследования инцидента позволит:
– Установить обстоятельства инцидента;
– Найти лиц, причастных к этим событиям;
– Выработать действенную систему мер, направленных на предотвращение инцидентов в будущем;
– Повысить рейтинг и доверие к Вашему бизнесу;
– Повысить ответственность сотрудников;
– Снизить расходы на информационную безопасность.
Зарубежный опыт показывает, что наиболее эффективной защитой от компьютерных правонарушений будет осознание компаниями того факта, что только сама компания может обеспечить должную защиту. Для этого необходимо ввести в штатное расписание организаций должности специалиста по компьютерной безопасности (администратора по защите информации) либо создать специальную службу и взять на себя защиту информации по 2-м направлениям:
1. Организационно-правовые меры;
2. Программно-технические меры.
Действия по минимизации ущерба в области защиты информации в обязательном порядке должны состоять из мер предупреждения инцидентов, мер реагирования на инциденты и мер возмездия злоумышленника.
В проводимом исследовании была выдвинута гипотеза: «компании малого и среднего бизнеса пока необходимо самостоятельно обеспечивать защиту от инцидентов в области информационной безопасности. Защиту следует строить по двум направлениям: бороться с предупреждением инцидентов и обеспечивать возмездие злоумышленнику». В результате анализа законодательной базы, рассмотрения тенденций, разработки методических рекомендаций по обеспечению защиты компании и руководства от злоумышленников, она была в полном объеме подтверждена.
Ответственность за преступления
В 1996 г. в уголовном кодексе РФ была установлена уголовная ответственность за преступления в сфере компьютерной информации (статьи 272-274). С этого момента общественно опасное деяние, в котором компьютерная информация является объектом преступного посягательства, а предметом или орудием преступления являются ЭВМ, система или сеть ЭВМ, карается предусмотренным уголовным законом наказанием.
Однако, фактически закон был принят с опозданием на целое десятилетие, к данному времени практика его применения еще только начинает складываться и существуют проблемы, затрудняющие предупреждение и расследование компьютерных преступлений:
– Сложность в установлении факта совершения компьютерного преступления и решении вопроса о возбуждении уголовного дела;
– Отсутствие методики расследования компьютерных преступлений у правоохранительных органов;
– Несовершенство УК по составу преступлений – статьи 272, 274 (требуется наличие перечисленных в законе общественно опасных последствий);
– Особенность специфики российского законодательства, когда именно подзаконные акты определяют применимость закона, а в области расследования компьютерных преступлений отсутствуют наработки (методических рекомендаций по изъятию, обыску, осмотру места происшествия и т. п.);
– Недоработанность УПК (в частности, неясно, как принимать в качестве доказательства электронный документ).
По оценкам отечественных и зарубежных исследователей, решение проблем раскрытия и расследования преступлений данного вида представляет собой задачу на несколько порядков более сложную, чем задачи, сопряженные с их предупреждением. Однако, компьютерная преступность неразрывно связана со злоумышленником. Одно без другого невозможно. Поэтому, рассматривая компьютерные преступления и меры борьбы с ними, следует, конечно же, определить, кто является типичным злоумышленником: его мотивы, типичные методы «работы».
Итак, введем термин киберпреступник. Это лицо, обладающее специальными познаниями в области информационных технологий, совершающее виновное противоправное деяние, направленное на несанкционированное получение доступа к определенной информации в целях ее использования.
Авторы книги «Форензика – компьютерная криминалистика» [2] определяют компьютерные расследования как «сохранение, идентификация, извлечение, документация и интерпретация компьютерных носителей для анализа первопричины».
В проведенном исследовании рассмотрен механизм совершения правонарушений на примере компьютерной сети, использующей операционные системы Windows, и определена типичная схема взлома компьютерной сети, которая представлена ниже на рисунке 1.
Рис.1. Механизм взлома компьютерной сети
Суть схемы сводится к сокрытию факта присутствия и установка потайного хода. Стоит обратить отдельное внимание на этап «предварительного сбора информации».
Оперативность и приоритетность расследования преступлений
Рассмотрим критерии, которые являются важнейшими для принятия положительного решения об уголовном преследовании злоумышленника или отрицательного решения в связи с экономической нецелесообразностью.
Компании сталкиваются с большим количеством компьютерных преступлений и расследовать их все экономически неэффективно. Следует учитывать также, что правоохранительные органы берутся не за любые компьютерные преступления или проявляют разную степень энтузиазма.
Нами исследовался достаточно объемный материал и предлагается 5 стадийный подход – «звезду приоритетности расследования», согласно которому по часовой стрелке располагаются 5 основных факторов – от материальных до нематериальных. Она отражена ниже на рисунке 2.
Рис.2. Звезда приоритетности расследования
А теперь введем термин компьютерного расследования. Это – «сохранение, идентификация, извлечение, документация и интерпретация компьютерных носителей для анализа первопричины». Компьютерная модель расследования показывает логическую модель проведения расследования. Она представлена ниже на рисунке 3.
Рис.3. Компьютерная модель расследования
При работе с цифровыми доказательствами специалистами применяются пять стадий расследования – от процесса инициирования до подготовки отчета о проведенном расследовании. Остановимся на 2-м шаге методики «оценке ситуации», как одном из наиболее важных.
Он состоит из:
– процедуры проведения опросов;
– самостоятельных действий.
Опрос сотрудников позволит получить дополнительную информацию о предполагаемом инциденте, причем собранные сведения могут влиять на выбор стратегии реагирования. Следует опросить системного администратора, менеджера и обычных пользователей, фамилии которых указаны в списке уведомлений.
Полученная в ходе опроса информация может быть очень полезной, однако следует помнить, что среди опрошенных может находиться виновник инцидента. Наилучшая тактика опроса уже выработана секретными службами: больше вопросов и меньше ответов.
Самостоятельные действия необходимы на этапе начального исследования, но следует помнить, что в сравнении с полным расследованием допускаются не все операции. Обычно на начальном этапе проводится анализ файлов регистрации в системе и сетевых устройствах, который дополняется пассивным сетевым мониторингом для выявления сопутствующих незаконных процессов. Самостоятельные действия полезны и необходимы, но должны проводиться с осторожностью.
Необходимо помнить о принципе «не навреди». Любые действия в поврежденной системе могут привести к изменению или потере фактов инцидента.
Очень важным при проведении расследования является оценка степени риска различных категорий пользователей. Типичные усредненные данные, полученные автором, представлены ниже в Таблице 1.
Таблица 1. Степень риска различных категорий пользователей относительно компонентов компьютерной системы
Обозначения, используемые в таблице:
I – внутренние данные,
II – внутренние прикладные программы,
III – внутренние системные модули,
IV – внешние данные,
V – внешние системные модули,
VI – элементы компьютерных систем и периферийное оборудование.
Расшифровка видов ущерба:
А – модификация;
В – разрушение;
С – компрометация (раскрытие) информации.
Степень угрозы:
пробел - нет воздействия;
1 – до 20%;
2 – до 40%;
3 – до 60%;
4 – до 80%;
5 – до 100%
Проект внедрения системы информационной безопасности
Учитывая особенности действий компьютерного преступника, взлома и защиты информационных систем, был реализован проект внедрения системы информационной безопасности на предприятии среднего бизнеса. В данном проекте автор участвовал в качестве менеджера проекта.
Проект был реализован на фирме, работающей в области поставки/установки/обслуживания холодильного оборудования с годовым оборотом от 100 до 500 млн. рублей.
Команда проекта состояла из Эксперта по безопасности, Системного администратора, Технического писателя, Тренера. Заказчиками проекта являлись Руководство и Договорной департамент. Бюджет проекта около 50 тысяч $.
Проект выполнялся в рамках следования стратегическим целям компании:
– стремление к лидерству в своей отрасли по размеру портфеля сделок, географическому охвату рынка и качеству оказываемых услуг;
– установление тесных и взаимовыгодных отношений с клиентами вне зависимости от масштаба их бизнеса.
Основной упор в проекте был сделан на защите данных административными методами, повышающих степень защиты корпоративной сети без больших финансовых вливаний.
Для обработки экстренных случаев нарушения информационной безопасности был разработан аварийный план. Он содержит действия персонала и сотрудников ИТ для максимального сокращения времени простоя системы.
Основными сложностями при реализации проекта были:
– Лоббирование своих интересов всеми сотрудниками компании;
– Сопротивление проекту со стороны топ-менеджмента;
– Необразованность персонала в области ИБ.
В их разрешении принимал непосредственное участие собственник бизнеса.
Отклонение от первоначального бюджета составило не более 20%.
По мнению собственника бизнеса, планируемый результат проекта достигнут! Однако, нелегкими усилиями – уволен один из топ-менеджеров, причастный к утечкам коммерческой информации.
Защищенная работа руководителя
Еще одним важным результатом проводимого автором исследования стала разработка и апробирование на менеджменте одной из лизинговых компаний практических рекомендаций по защищенной работе руководителя.
Комплекс разработанных мною мер включает конкретное программное обеспечение для обеспечения сохранности, целостности и защиты конфиденциальной информации, передаваемой по открытым каналам связи, или циркулирующей в корпоративной ЛВС, имеющей доступ в Internet.
При разработке инструментов личной информационной безопасности руководителя за основу взяты идеи, которые активно продвигает разработчик PGP Филипп Циммерманн [3]. Они представлены ниже в Таблице 2.
Таблица 2. Практические рекомендации по защищенной работе руководителя
В завершении можно сделать следующие выводы:
– Расследование ИТ инцидентов повышает рейтинг доверия к бизнесу;
– О защите от киберпреступников пока должна думать сама компания;
– Используйте «звезду приоритетности расследования» при рассмотрении инцидента;
– При расследовании помните, что можно потерять или изменить факты инцидента;
– Административные методы повышают защиту без больших финансовых вливаний.
Хочется надеяться на то, что представленные в статье рекомендации и инструменты помогут компаниям малого и среднего бизнеса организовать эффективную защиту от компьютерных правонарушений.
Список использованных источников
1. Фирсун А.П., Касилов А.Н., Глоба Ю.А., Савин В.И., Белевская Ю.А. Право и информационная безопасность: Учебное пособие// Под редакцией д.т.н. А.П. Фирсуна и к.ю.н. Ю.А. Белевской – М.: Приор-издат, 2005. – 272 с.
2. Федотов Н.Н. Форензика - компьютерная криминалистика. – М.: Юридический мир, 2007. – 360 с.
3. ВикипедиЯ свободная библиотека //материалы сайта ru.wikipedia.org
4. Безмалый В. Расследование инцидентов в Windows. Часть 1// http://www.osp.ru/win2000/2008/02/4869658/
5. Безмалый В. Расследование инцидентов в Windows. Часть 2// http://www.osp.ru/win2000/2008/03/5046359/
6. Койнаш А. Взлом и защита компьютерной сети: этапы и инструменты http://www.vlasnasprava.info/ru/business_az/how_to_grow/protect.html?_m=...
Copyright © 2010 Кущенко С.В.