Практика обеспечения информационной безопасности предприятий малого и среднего бизнеса

Многие компании задумываются над тем, стоит ли вообще проводить расследование. Однако, следует принимать к сведению, что если произойдет, например, квартирная кража, то потерпевший конечно же обратится в милицию. Информация – это такая же собственность, как и Ваши деньги, Ваше имущество. Владея информацией, Вы владеете своим бизнесом. В современном мире информационные технологии представляют собой удобный инструмент для ведения бизнеса. И задача информационной безопасности – сделать этот инструмент безопасным. Если Вашей конфиденциальной информацией завладеют Ваши конкуренты – есть вероятность, что произойдёт ситуация, когда вы можете остаться без конкурентного преимущества или даже потерять бизнес. Если инцидент произошел, то очень важно определить лиц, причастных к нему.

К сожалению, Российские компании, занимающиеся информационной безопасностью, обычно уделяют внимание лишь технической и организационной стороне, а расследование ИТ-инцидентов обходят стороной. Проведя расследование и наказав преступников, Вы обезопасите свой бизнес в будущем. Преступники будут знать, что остаться безнаказанным им уже не удастся и подобные действия будут преследоваться по всей строгости закона. Важно отметить, что судебные методы на практике убедительнее внесудебных и к тому же безопасны для компании – иначе можно стать новым «Чичваркиным».

Если говорить о рынках, то рынок информационной безопасности в кризис увеличился, рынок оборудования сократился в объемах в 3 раза, а сам ИТ-рынок откатился к уровню 2005 года. Однако, бюджеты компаний на информационную безопасность продолжают расти в геометрической прогрессии, но количество инцидентов становится только больше. Это означает, что стандартный подход к информационной безопасности «защита, защита, новая защита» устарел. Необходимо развивать информационную безопасность в ключе ответственности, закона и права.

Проведение расследования ИТ-инцидента позволит:
• Установить обстоятельства инцидента;
• Найти лиц, причастных к этим событиям;
• Выработать действенную систему мер, направленных на предотвращение инцидентов в будущем;
• Повысить рейтинг и доверие к Вашему бизнесу;
• Повысить ответственность сотрудников;
• Снизить расходы на информационную безопасность.

Зарубежный опыт показывает, что наиболее эффективной защитой от компьютерных правонарушений будет осознание компаниями того факта, что только сама компания может обеспечить должную защиту. Для этого необходимо ввести в штатное расписание организаций должности специалиста по компьютерной безопасности (администратора по защите информации) либо создать специальную службу и взять на себя защиту информации по 2-м направлениям:
1. Организационно-правовые меры;
2. Программно-технические меры.

Действия по минимизации ущерба в области защиты информации в обязательном порядке должны состоять из мер предупреждения инцидентов, мер реагирования на инциденты и мер возмездия злоумышленника.

Поэтому можно с уверенностью сказать, что безопасность – самая серьезная проблема, с которой столкнулись предприятия малого и среднего бизнеса. Непрерывно меняющиеся угрозы безопасности как с внешней, так и с внутренней стороны бизнес-ориентированной сети могут внести хаос в деловые операции, отрицательно воздействуя на прибыльность сделок и удовлетворенность клиентов. Несмотря на то, что в последние годы в криминалистической и правовой литературе уделяется повышенное внимание методике расследования компьютерных преступлений, в этой области еще остается очень много нерешенных и дискуссионных вопросов. Изучение проблем расследования преступлений в сфере компьютерной информации выступает одной из острейших задач современного права и криминалистической науки.

Ущерб, наносимый компании внешними воздействиями, такими как компьютерная преступность или влияние государства через нормативные акты и законы (в частности федеральный закон «О персональных данных»), в наше время становится одним из наиболее опасных для компании. Он не просто существует, а уже ощутим и сильно влияет на бизнес. Об этом свидетельствует обширный перечень возможных способов компьютерных преступлений и статистические данные Управления «К» Министерства внутренних дел России, которые регистрируют около 12 – 14 тыс. преступлений в сфере компьютерных технологий в год. Из них же следует что растет и средний размер ущерба, нанесенного злоумышленниками, который сейчас равен 1,7 млн. руб. К тому же уровень латентности компьютерных преступлений определяется в настоящее время в 90%, а из оставшихся 10% выявленных компьютерных преступлений раскрывается только 1%. Поэтому автор считает рассматриваемую проблематику обеспечения информационной безопасности предприятий малого и среднего бизнеса актуальной и практически значимой.

Исходя из вышеизложенного, в качестве объекта исследования автора определено обеспечение информационной безопасности предприятий малого и среднего бизнеса, а предметом исследования выступают юридические методы обеспечения ИБ.

В исследовании основными методами анализа и решения сформулированной проблемы были: cбор данных, анализ, синтез, систематизация и формализация на их основе методик и рекомендаций. В качестве ограничений исследования были определены: технические меры защиты информации, авторское право, внутренние регламенты найма/увольнения персонала, вопросы государственной тайны, юридическая сторона организации судопроизводства в РФ. Эти аспекты информационной безопасности достаточно обширны и требуют отдельного анализа, поэтому автором не рассматривались.

В связи с вышесказанным автором были сформулированы цели и задачи исследования.

Цель – определение основных угроз для предприятий малого и среднего бизнеса и разработка методики по их преодолению.

Задачи:

1. Общая характеристика преступлений в сфере компьютерной информации и основных способов их совершения;
2. Знакомство с отечественным опытом в борьбе с компьютерными преступлениями;
3. Анализ федерального закона №152-ФЗ «О персональных данных»: определение рисков и угроз со стороны конкурентов и государства, разработка методики приведения компании в соответствие с требованиями закона.

В проводимом автором исследовании была выдвинута гипотеза: «компании малого и среднего бизнеса необходимо самостоятельно обеспечивать защиту от инцидентов в области информационной безопасности. Защиту следует строить по двум направлениям: бороться с предупреждением инцидентов и обеспечивать возмездие злоумышленнику». В результате анализа законодательной базы, рассмотрения тенденций, разработки методических рекомендаций по обеспечению защиты компании и руководства от злоумышленников, она была в полном объеме подтверждена.

В 1996 г. в Уголовном Кодексе РФ была установлена уголовная ответственность за преступления в сфере компьютерной информации (статьи 272-274). С этого момента общественно опасное деяние, в котором компьютерная информация является объектом преступного посягательства, а предметом или орудием преступления являются ЭВМ, система или сеть ЭВМ, карается предусмотренным уголовным законом наказанием.

Однако, фактически закон был принят с опозданием на целое десятилетие, к данному времени практика его применения еще только начинает складываться и существуют проблемы, затрудняющие предупреждение и расследование компьютерных преступлений:

• Сложность в установлении факта совершения компьютерного преступления и решении вопроса о возбуждении уголовного дела;
• Отсутствие методики расследования компьютерных преступлений у правоохранительных органов;
• Несовершенство УК по составу преступлений - статьи 272, 274 (требуется наличие перечисленных в законе общественно опасных последствий);
• Особенность специфики российского законодательства, когда именно подзаконные акты определяют применимость закона, а в области расследования компьютерных преступлений отсутствуют наработки (методических рекомендаций по изъятию, обыску, осмотру места происшествия и т. п.);
• Недоработанность УПК (в частности, неясно, как принимать в качестве доказательства электронный документ);
• и некоторые другие проблемы.

По оценкам отечественных и зарубежных исследователей, решение проблем раскрытия и расследования преступлений данного вида представляет собой задачу на несколько порядков более сложную, чем задачи, сопряженные с их предупреждением. Однако, компьютерная преступность неразрывно связана со злоумышленником. Одно без другого невозможно. Поэтому, рассматривая компьютерные преступления и меры борьбы с ними, следует, конечно же, определить, кто является типичным злоумышленником: его мотивы, типичные методы «работы».

Итак, введем термин киберпреступник. Это лицо, обладающее специальными познаниями в области информационных технологий, совершающее виновное противоправное деяние, направленное на несанкционированное получение доступа к определенной информации в целях ее использования.

В проведенном автором исследовании рассмотрен механизм совершения правонарушений на примере компьютерной сети, использующей операционные системы Windows, и определена типичная схема взлома компьютерной сети, которая представлена ниже на рисунке 1.

Рис.1. Механизм взлома компьютерной сети

Поняв, каким образом действуют преступники, необходимо несколько слов упомянуть про оперативность и приоритетность расследования преступлений. Понять критерии, которые являются важнейшими для принятии положительного решения об уголовном преследовании злоумышленника или отрицательного решения в связи с экономической нецелесообразностью.

Компании сталкиваются с большим количеством компьютерных преступлений и расследовать их все экономически неэффективно. Потерпевшей компании, эксперту, специалисту или иному лицу для определения фактов, на которых стоит сосредоточиться, следует учитывать, что правоохранительные органы берутся не за любые компьютерные преступления или проявляют разную степень энтузиазма в зависимости от перечисленных обстоятельств:

• Вид и размер ущерба. Более общественно опасными являются те из компьютерных преступлений, которые подразумевают насилие по сравнению с теми, которые лишь наносят материальный ущерб;
• Распространенность. Раскрытие преступления и наказание преступника также в некоторой мере воздействуют на потенциальных правонарушителей. Поэтому раскрывать часто встречающиеся типы преступлений при прочих равных важнее, чем редкие типы преступлений.
• Количество и квалификация персонала. В зависимости от количества и квалификации сотрудников стоит браться за те или иные компьютерные преступления. Слишком сложные начинать расследовать бесполезно.
• Юрисдикция. Предпочтительными являются преступления, не требующие задействовать иностранные правоохранительные органы. Наиболее быстрый результат получается при расследовании преступлений, локализованных в пределах одного города.
• Политика. В зависимости от текущих политических установок, могут быть признаны более приоритетными некоторые виды компьютерных преступлений, раскрытие которых повлечет больший пиар-эффект или большее одобрение начальства.

Однако мы до сих не определили, что же такое компьютерное расследование. Введем соответствующий термин. Согласно Warren G. Kruse II и Jay G. Heiser, авторов книги «Computer Forensics: Incident Response Essentials», компьютерные расследования это – «сохранение, идентификация, извлечение, документация и интерпретация компьютерных носителей для анализа первопричины». Компьютерная модель расследования показывает логическую модель проведения расследования.

При работе с цифровыми доказательствами специалистами применяются пять стадий расследования:
I. Инициирование процесса расследования. Определение, будут ли привлекаться юристы для проведения административного/уголовного преследования злоумышленника.
II. Оценка ситуации. Получение у руководства организации разрешение на проведение расследования; Идентификация, анализ и документирование сетевой инфраструктуры и компьютеров, затронутых инцидентом. Определение области расследования и предпринимаемых действий.
III. Накопление данных. Сбор, защита и сохранность оригинальных доказательств. Результатом данной стадии будет детальный документ, содержащий информацию об оценке воздействия инцидента на бизнес организации, перечень скомпрометированных компьютерных систем и вид компрометации, результаты бесед с пользователями и администраторами скомпрометированных систем, предлагаемые направление и план действий.
IV. Анализ данных. Исследование и сопоставление цифровых доказательств с теми событиями, которые представляют реальный интерес, что в дальнейшем позволит понять ход атаки: анализ сетевых данных, данные рабочих станций, анализ носителей данных.
V. Подготовка отчета о проведенном расследовании. Сбор, упорядочение собранной информации и составление окончательного отчета. В отчете излагается краткое описание инцидента, детальное описание анализа доказательств и суммарный результат расследования.

Остановимся на одном из наиболее важных моментов этапов оценки ситуации и накопления данных подобнее. Это процедура проведения опросов различных групп сотрудников.

Опрос сотрудников позволит получить дополнительную информацию о предполагаемом инциденте, причем собранные сведения могут влиять на выбор стратегии реагирования. Следует опросить системного администратора, менеджера и обычных пользователей, фамилии которых указаны в списке уведомлений.

Полученная в ходе опроса информация может быть очень полезной, однако следует помнить, что среди опрошенных может находиться виновник инцидента. Наилучшая тактика опроса уже выработана секретными службами: больше вопросов и меньше ответов.

Опрос системного администратора

Многие предполагаемые инциденты станут обычными недоразумениями после разговора с системным администратором и пользователями, особенно когда уведомление об инциденте получено из журнала брандмауэра или из системы выявления вторжений. Системный администратор может быстро прояснить ситуацию и подтвердить или опровергнуть возникновение инцидента.

Примеры вопросов к системному администратору:
• Были ли раньше любые необычные действия?
• Сколько людей имеют административный доступ к системе?
• Какие приложения обеспечивают удаленный доступ к системе?
• Каковы средства регистрации в системе и сети?
• Какие мероприятия по обеспечению безопасности реализованы в системе?

Опрос менеджеров

Менеджеры несут ответственность за систему-жертву и хранящиеся на ней данные, поэтому могут предоставить полезную информацию. На это есть две причины – одна из них связана с информацией, а другая с персоналом.

Менеджеры часто знают о хранящейся информации то, что неизвестно системному администратору. Например, можно привлечь менеджера к тестированию безопасности компьютера без предупреждения системного администратора о готовящейся проверке.

Второй темой для разговора с менеджером может стать обсуждение персонала. Менеджеры, а не системные администраторы, знают о предыдущих попытках взлома, недовольных своим положением сотрудниках или лицах, недавно уволившихся из компании.

Примеры вопросов к менеджеру:
• Есть ли какие-то важные замечания о данных и приложениях подозрительной системы?
• Если ли среди персонала люди, на которых следует обратить внимание?
• Проводились ли какие-нибудь тесты для проверки проникновения в систему или сеть?

Опрос конечных пользователей

Пользователи могут предоставить полезную информацию, особенно когда именно они обнаружили необычные действия в системе. Пользователи смогут подробно рассказать о нестандартном поведении системы, что поможет в расследовании инцидента.

Самостоятельные действия

Самостоятельные действия необходимы на этапе начального исследования, но следует помнить, что в сравнении с полным расследованием допускаются не все операции. Обычно на начальном этапе проводится анализ файлов регистрации в системе и сетевых устройствах, который дополняется пассивным сетевым мониторингом для выявления сопутствующих незаконных процессов. Самостоятельные действия полезны и необходимы, но должны проводиться с осторожностью.

Необходимо помнить о принципе «не навреди». Любые действия в поврежденной системе могут привести к изменению или потере фактов инцидента.

Очень важным при проведении расследования является оценка степени риска различных категорий пользователей. Типичные усредненные данные, полученные автором, представлены ниже в таблице 1.

Таблица 1. Степень риска различных категорий пользователей относительно компонентов компьютерной системы

Охарактеризуем обозначения, используемые в таблице.

Римскими цифрами в таблице обозначены следующие элементы:
I – внутренние данные,
II – внутренние прикладные программы,
III – внутренние системные модули,
IV – внешние данные,
V – внешние системные модули,
VI – элементы компьютерных систем и периферийное оборудование

Расшифровка видов ущерба:
А – модификация;
В – разрушение;
С – компрометация (раскрытие) информации.

Степень угрозы:
пробел – нет воздействия;
1 – до 20 %;
2 – до 40%;
3 – до 60 %;
4 – до 80 %;
5 – до 100%

Учитывая вышеперечисленные особенности действий компьютерного преступника и особенности взлома информационных систем, а также рекомендаций по их защите, был реализован проект внедрения системы информационной безопасности на предприятии среднего бизнеса. В данном проекте автор участвовал в качестве менеджера проекта.

Основной упор при реализации проекта был сделан на защиту данных административными методами. Это позволило значительно повысить степень защиты корпоративной сети без больших финансовых вливаний.

Для обработки экстренных случаев нарушения информационной безопасности (форс-мажор, кража, промышленный шпионаж и др.) был разработан аварийный план, который содержит в себе действия персонала при возникновении внештатных ситуаций, а также действия сотрудников ИТ для максимального сокращения времени простоя системы.

Основными сложностями, возникаемыми при реализации проекта, были:
• Лоббирование своих интересов всеми сотрудниками компании;
• Сопротивление проекту со стороны топ-менеджмента (было преодолено жесткими решениями собственника);
• Необразованность персонала в области ИБ – устранялась локальными семинарами.

Отклонения от планируемого первоначально бюджета составили не более 20%.

По мнению собственника бизнеса, планируемый результат проекта достигнут, хотя и нелегкими усилиями – был уволен один из топ-менеджеров, причастный к утечкам коммерческой информации конкурирующим фирмам.

Другим практическим приложением проведенного исследования явился анализ федерального закона № 152-ФЗ «О персональных данных» и выявление путей нанесения ущерба компании.

В результате автором были рассмотрены особенности использования визитных карточек и электронной почты, которые при определенных условиях подпадают под действие закона.

Особое внимание уделено возможности требования блокирования и уничтожения персональных данных, которые закон предоставляет субъекту персональных данных. Мало кто обращает внимание на тот факт, что в серьезных информационных системах, основанных на промышленных СУБД, записи не уничтожаются физически, а помечаются как уничтоженные, при этом ни о какой невозможности «восстановить содержание персональных данных в информационной системе» речи быть не может. Поэтому злоумышленник может создать организации большие сложности, потребовав блокировки и уничтожения персональных данных.

В исследовании автор уделил внимание рассмотрению схожих ситуаций по разглашению банком информации о клиенте и особенностях обработки персональных данных в турфирме. Также в результате анализа было определено, что работник кадровой службы, разгласивший адрес места жительства и номер телефона другого работника организации, несет за это ответственность вплоть до увольнения.

Еще одним важным результатом проводимого автором исследования стала разработка и апробирование на менеджменте одной из лизинговых компаний практических рекомендаций по защищенной работе руководителя. Рекомендации включают предложения по использованию конкретных информационных систем и программного для обеспечения сохранности и целостности и защиты конфиденциальной информации от:

• перехвата конфиденциальных сообщений, передаваемых по открытым каналам связи (радиорелейная, спутниковая, радио и проводная связь);
• утечки информации из корпоративных ЛВС и баз данных, размещенных на средствах электронно-вычислительной техники, включенных в сети открытого пользования (например, Internet);
• искажения или модификации информации средств обмена сообщениями (электронная почта, ICQ и т.п.) при помощи специализированного ПО, позволяющего производить необнаруживаемое изменение содержимого сетевых пакетов.

При разработке инструментов личной информационной безопасности руководителя за основу взяты идеи, которые активно продвигает разработчик PGP Филипп Циммерманн.

В заключении хочется надеяться на то, что разработанные методические рекомендации, а также практические инструменты помогут компаниям малого и среднего бизнеса организовать эффективную защиту от компьютерных правонарушений

Copyright © 2010 Кущенко С.В.