"Человек - самое уязвимое место в системе безопасности.."

организационные меры защиты информации

Проблема организационных мер

Во время реализации системы контроля над конфиденциальным данными, у сотрудников службы информационной безопасности предприятия постает вопрос, быть или не быть по поводу выбора методов защиты информации. Аргументы о недостатках и преимуществах убедительна и стройна. К примеру сторонники программно-аппаратных средств считают что надо втихую ставить фильтры и отслеживать атаки, ибо если принимать организационные меры нарушитель испугается. Сторонники скупых, считают что достаточно будет пустить слух, что все под колпаком. А увольняющимся сотрудникам будут доплачивать за распространение ложных показаний по поводу строгости на предприятии. Что бы объективно подойти к этому вопросу, нужно отталкиваться от конкретных задач внедрения системы безопасности. Общие задачи показано на рис.1.

Цели внедрения системы защиты

Рисунок — 1

Для определение конкретной организационной защиты, нужно четко знать ответы на вопросы:

  • Сколько компьютеров установлено на предприятии? Сколько сейчас находятся в ремонте ? а сколько работает ?
  • Сможете ли вы найти маскарад оборудования ?
  • Какие задачи решает каждый компьютер ?
  • Как проверяется оборудование, вернувшееся из ремонта ?
  • Каков алгоритм приема нового сотрудника или оборудования ?

Список можно продолжать. Защита начинается с постановки вопроса. Многие кто сталкивался с подобной задачей, установки организационных средств защиты могут однозначно сказать, что каждый пользователь негативно относится к таким средствам. Они сковывают его свободу в рамках предприятия, так как шаг в лево или в право отслеживается.

Универсального рецепта, так же как и идеальных условий, не бывает. Нужно рассматривать отдельно для каждого случая отдельные пути решения.

Психологические меры

Независимо от меры защиты, есть два способа внедрения систем защиты: закрытый и открытый. Понятно что реорганизовать документооборот незаметно от сотрудников не реально. Но если основной целью внедрения системы, это выявление уже существующего линии утечки, то есть смысл подождать с объявлением процедур о нововведении новых мер защиты, а поставить мониторы фильтры и другие скрытые механизмы защиты. Иногда можно даже замаскировать программные утилиты на робочих станциях сотрудников (антивирусы, мониторы аудита, межсетевой экран, программы для тестирования сети). Также для внутренних угроз за счет психоловидеонаблюдения, можно поставить неподключенные камеры. Сам факт наличия камеры дает сомнения для действий нарушителя. При этом можно раздуть иные меры защиты, так сказать взять подписи о неразглашении данных, рассказать о последствиях утечки и тд. Такие псхихологические моменты создают устойчивый барьер для действий на возможные нарушения.

Права на локальных пользователей

Неправильно считать, что установив самое совершенное ПО все проблемы связанные с утечками решатся. Нужно ограничивать доступ к этим ПО на локальных ПК сотрудников. Самый простой способ, это ограничивание прав локального администратора на простых рабочих станциях. Также можно использовать ОС с неспособностью поддерживать удаленный доступ. Обучение сотрудников, инструктаж и другие моменты во многом помогут продотвратить утечки через необозначеных сотрудников. Любое копирование данных на флешки, должны вызывать вопросы у коллег. Также сильно квалифиированные сотрудники также не всегда плюс.

Стандартизация ПО

В компаниях можно редко увидеть такой документ, как список ПО допустимый и установке и использования на локальных ПК предприятия. Неучет ПО следует к прямым утечкам данных. К примеру наличие на ПК файлового менеджера Total Commander разрешает копировать временные файлы, а также другие низкоуровневые операции. Как быть, заставить сотрудников пользоваться стандартными средствами ОС или разрешать такие мощные инструменты для похищения данных ? Как будет составлен список ПО, нужно обеспечить установку на всех локальные ПК и ограничить запуск других программ без прав администратора. Схема все, что не разрешено — запрещено, должен работать безотказно.

Хранение физических носителей

Это еще один канал утечки. Есть два способа предотвращению утечки. Первый — анонимизация носителей. Сотрудники которые имеют доступ к носителям, не знают на каком носителе какая информация, они только обращаются к номерам носителей. Те сотрудники которые знают какая информация находится на каком носителе, они не дожны иметь доступ к хранилищу носителей. Второй — это шифрование (блочное или поточное) при резервном копировании. Также должны быть такие вещи, как замки на дверях, другие способы доступа к комнате с носителями.

Уровень проработки системы защиты с внутренними ИТ-угрозами зависит от уровня паранойи компании. Предела нет. Нужно понимать, что владелец информации имеет право на ее защиту и конфиденциальность. Можно перефразировать на новый лад следующее, Тот бизнес чего-либо стоит, который может защищаться.

Мероприятия проводимые относительно времени

Периодические мероприятия

К ним относят:

  • анализ системных журналов
  • распределение реквизитов доступа (пароли, ключи)
  • Пересмотр правил доступа сотрудников к информационным ресурсам
  • Привлекать сторонних специалистов для проверки системы защиты

Мероприятия по необходимости

К ним относят:

  • Действия, реализуемые при изменениях в кадровом составе предприятия
  • Действия при изменение настроек оборудования или при ремонте его
  • Проверка новых сотрудников на предмет знания правил политики безопасности и ответственности

Постоянные мероприятия

К ним относят:

  • Действия по реализации нужного уровня физической защиты: пропускной режим, противопожарная охрана, видеонаблюдение и тд. Практическую реализацию можно посмотреть на nnsbnn.ru
  • Скрытый и явный контроль за работой сотрудников предприятия
  • Действия направленные на поддержку работоспособности средств защиты
  • Контроль за соблюдением политики безопасности сотрудниками
  • Периодически проводить анализ и оценку эффективности средств защиты

Итог

Плюсы организационных мер защиты информации:

  • Проста реализации
  • Большой спектр решаемых задач
  • Гибкость реагирование на НСД
  • Гибкость при изменение поставленных задач

К минусам можно отнести:

  • Необходимость в людях
  • Зависимость от субъективных факторов
  • Низкая надежность без дополнительных направлений защиты (техническая, программная и тд)
  • Неудобства с большим объемом рутинной деятельностью

Смотрите также: