воскресенье, 23 февраля 2014 г.

Лучшие практики защиты от инсайдеров от CERT

CERT. Common Sense Guide to Mitigating Insider Threats 4-th Edition

CERT. Best Practices Against Insider Threats in All Nations 

Темы: информационная безопасность, инсайд

В далеком 2012 году я под руководством своего научного руководителя Малюка А.А. проводил исследование возможностей по формальному моделированию внутреннего нарушителя ИБ с использованием системной динамики Дж. Форрестера. 

В ходе  исследования была выпущена статья в научном журнале:

 А.С. Зайцев, А.А. Малюк. Исследование проблемы внутреннего нарушителя

Во время исследования я понял, что материалов на эту тему на русском языке нет. Аналогичное исследование проводится организацией CERT, но у них другой подход к моделированию.

Недавно на блоге Алексея Прозорова я встретил обзор лучших практик по инсайду от CERT

И понял, что CERT этот год не стоял на месте, а продвинулся в своих исследованиях :) 

Поэтому представляю свой обзор данных лучших практик.



В целом про CERT можно вспомнить в контексте трех направлений исследований:

1. CERT, в первую очередь, знаменит своей разработанной еще в 2001 году системой оценки рисков Octave.

2. Примерно в это же время CERT с финансированием Министерства обороны США начал исследования внутреннего нарушителя информационной безопасности.
В качестве математической основы для исследования они также выбрали системную динамику Дж. Форрестера. Результатом этих исследований раз можно считать документы - лучшие практики по обработке инсайдерских угроз:

CERT. Common Sense Guide to Mitigating Insider Threats 4-th Edition
CERT. Best Practices Against Insider Threats in All Nations


3. Также недавно они выпустили новую модель CERT Cyber Risk and Resilience Management Model (CERT-RMM)
В данной модели произведена попытка объединить информационную безопасность, непрерывность бизнеса и оперативное управление ИТ в единую сущность под названием "устойчивость организации".
Причем они позиционируют ее как универсальную модель, и в лучших практиках по инсайду проводят соответствие практикам пунктам стандарта ISO 27002 и своей модели CERT RMM.



Перейдем к обзору лучших практик.
Символом // и курсивом я буду помечать свои мысли, замечания и предложения

Первый документ Common Sense Guide ... (124 страниц) состоит из введения и 19 практик.
Во введении дается немного аналитической информации, заявляется что для разработки документа использовалась база из более чем 700 реальных случаев инсайда по США (аналитика: распределение числа инцидентов в зависимости от типа поведения инсайдера и от сектора экономики)

Для каждой практики дается описание, трудности при внедрении, примеры тех случаев из базы, которые иллюстрируют отсутствие внедрения практики в организации и показывают, как инцидента можно было бы избежать. 

Далее приводятся первые и самые эффективные шаги, с которых стоит начинать внедрение практики в организации и которые принесут быстрый результат. Причем эти шаги разделяются для организаций любого размера и отдельно для крупных организаций. 

В конце практики дается ее соответствие пунктам стандартов: NIST SP 800-53, CERT-RMM и ISO 27002.

Второй документ Best practices ... in All Nations (16 страниц) дает краткий обзор каждой практики и рекомендации (я бы даже сказал, догадки авторов) по внедрению ее в отличной от США стране (т.к. мы помним, что статистической основой для лучших практик являлась база инсайдерских инцидентов в США).



В начале документов дается CERT-овское определение внутренней угрозы информационной безопасности:


Insider threat – current or former employee, contractor, or business partner who has or had authorized access to an organization’s network, system, or data, and intentionally exceeds or uses that access in a manner that negatively affects the confidentiality, integrity, or availability of the organization’s information or information system.


В переводе на русский язык:


Внутренняя угроза ИБ – текущий или бывший сотрудник, подрядчик или бизнес-партнер, который имеет или имел авторизованный доступ к сети, системе или данным организации и преднамеренно превысил или использовал доступ таким образом, что негативно повлиял на конфиденциальность, целостность или доступность информации организации или ее информационной системы.


Документы говорят о том, что существует четыре типичных поведения инсайдера: кража интеллектуальной собственности, ИТ-саботаж, мошенничество и шпионаж. Причем оба документа ориентированы на обработку угроз кражи интеллектуальной собственности, ИТ-саботажа и мошенничества (без шпионажа в области гостайны).

Определения:


 
ИТ-саботаж: инсайдер использует ИТ для нанесения определенного вреда организации. 

Кража интеллектуальной собственности: инсайдер использует ИТ для кражи интеллектуальной собственности из организации. Эта категория включает в себя промышленный шпионаж с участием аутсайдеров.  

Мошенничество: инсайдер использует ИТ для неавторизованной модификации, дописывания или удаления данных организации (а не программ или систем) для получения личной выгоды или крадет персональную информацию. 

// Причем немотивированного нарушителя, который причинил вред неумышленно, CERT не рассматривает. В конце документа Common Sense Guide они застенчиво заявляют, что их исследование неполно именно по этой причине, но они обещают исправиться

Лучшие практики рассматривают 6 подразделений организации, которые крайне важны при обработке инсайдерских угроз:
  • Отдел кадров.
  • Юридический отдел.
  • Физическая защита.
  • Владельцы данных.
  • ИТ и ИБ.
  • Разработчики.

Отдельно отмечены следующие аспекты внутренней угрозы ИБ:

  • Сговор с аутсайдером. Довольно частая комбинация. Выделены характеристики сотрудников, которые более склонны к сговору.
  • Инциденты с участием бизнес-партнеров, которые все более распространяются.
  • Слияние и поглощение компаний. Данный момент наиболее нестабилен и ведет к повышению риска реализации инсайдерской угрозы ИБ.
  • Культурные различия. Оказывают сильное влияние на поведение инсайдера (документ Best Practices ... in All Nations).
  • Репутационный аспект, один из ключевых в инсайдерском инциденте.
  • При рассмотрении инсайдерской угрозы надо рассматривать все с учетом бизнес-деятельности. 
Рассмотрим каждую практику в отдельности.


Практика 1. Рассматривайте угрозы, исходящие от инсайдеров и бизнес-партнеров в рамках общей оценки рисков организации.



     // Любопытно, но в качестве риска CERT рассматривает комбинацию угрозы, уязвимости и влияния на бизнес. Вероятность осуществления угрозы в их оценку рисков не входит (почему?)
 
     При полномасштабной оценке рисков в организации, как правило, забывают про инсайдерские угрозы. А у внутреннего нарушителя гораздо больше возможностей по нанесению ущерба организации т.к. он:
  1. Лучше представляет себе структуру организации: где хранятся важные данные, какие существую бизнес-процессы, как построена ИТ и физические инфраструктуры.
  2. Имеет авторизованный доступ.

Поэтому необходимо использовать эшелонированные меры и средства физической и технологической защиты критических активов.



Всем сотрудникам, подрядчикам и бизнес-партнерам необходимо подписывать соглашение о неразглашении и подвергаться проверкам биографических данных.



Проверки подрядчиков и бизнес-партнеров должна соответствовать политике организации



Для обеспечения ИБ бизнес-процессы организации не менее важны, чем технические уязвимости.


Проблемы:


  1. При оценки тяжело сравнить уровень риска внутренней и внешней угрозы.
  2. У организаций, как правило, нехватка опыта в оценке риска инсайдерской угрозы.
  3. Активы часто бывают распределены по организации (сложные системы), поэтому тяжело оценить риск или произвести приоритезацию.
 Краткосрочный результат:


  1. Пусть все работники, подрядчики и доверенные бизнес-партнеры подпишут соглашения о неразглашении при найме и увольнении.
  2. Проверьте, что все доверенные бизнес-партнеры проводили проверку биографических данных всех сотрудников, которые работают в вашей инфраструктуре. Если возможно, пропишите это в договоре. (на уровне, соответствующем вашей организации)
  3. При поглощении другой компании проведите проверку биографических данных ее сотрудников. (на уровне, соответствующем вашей организации)
  4. Предотвратите печать важных документов, если в этом нет необходимости. Движение электронного документа легче отследить.
  5. Избегайте прямого подключения бизнес-партнера к сети организации, если это возможно. Лучше предоставьте им необходимую информацию без доступа к вашим ресурсам.
  6. Ограничьте доступ к процессу системного резервирования. Доступ предоставляйте только администратору, ответственному за резервирование и восстановление.
  7. ДЛЯ БОЛЬШИХ КОМПАНИЙ: запретите использование персональных устройств в защищенных зонах, т.к. они могут быть использованы для кражи информации.
  8. Произведите оценку риска всей критической информации, бизнес-процессов и систем, важных для целей организации, с учетом инсайдерской угрозы.
  9. Примените криптографические решения по прозрачному шифрованию, чтобы авторизованные пользователи не имели отдельного доступа к шифрованию и расшифрованию.
  10. Разделите ответственности между повседневным администрированием и администрированием резервирования и восстановления. Запретите доступ обычным администраторам к технологиям резервирования и восстановления.

ИБ должна максимально защитить критичные для бизнеса активы, при этом необходимо соблюсти баланс между защищенностью и тем, чтобы меры защиты не препятствовали выполнению бизнес-процессов




Практика 2. Четко документируйте и последовательно добивайтесь исполнения политик и мер защиты

Понятные и последовательно внедряющиеся политики и защитные меры уменьшают вероятность того, что инсайдер почувствует себя несправедливо обиженным.

Политики и меры защиты:


  1. Должны быть четко, кратко и понятно задокументированы.
  2. Необходимо последовательно внедрять.
  3. Должны быть доступны для ссылки на них и ознакомления.
  4. Должны давать объяснение своей необходимости.
  5. Должны включать в себя последствия их нарушения (соразмерные со значимостью нарушения).
  6. Должны закрепляться проведением обучения.
Сотрудники должны подписаться, что понимают и готовы соблюдать их сразу после найма и регулярно во время трудовой деятельности.

Особенно тщательно должны быть проработаны политики по отношению к допустимому использованию систем и данных организации, прав на продукты труда, оценку продуктивности труда (включая условия для получения повышения и бонусов), обработки жалоб сотрудников, использования привилегированных учетных записей.

Должна быть отдельная политика для поведения привилегированных пользователей, которую необходимо переутверждать как минимум ежегодно. Также необходимо рассмотреть возможность внедрения решений по управлению привилегированными учетными записями.

Обида сотрудника – типичный фактор для инсайдерской угрозы, чаще всего для ИТ-саботажа.

Обида вызвана несбывшимися предположениями:
  1. Недостаточное повышение зарплаты или недостаточные бонусы.
  2. Ограничение по использованию ресурсов компании.
  3. Уменьшение полномочий или обязанностей.
  4. Понимание некоторых рабочих требований нечестными.
  5. Чувство того, что с ним плохо обходятся.
Необходимо убедиться, что руководство не освобождено от политик или мер защиты и исполняет их наравне со всеми.

Политики и меры защиты должны регулярно обновляться для обеспечения их актуальности состоянию организации. Ограничение сотрудников, их привилегии и ответственности меняются. Эти моменты надо рассматривать в качестве «стрессовых точек» повышенного риска инсайдерского угрозы. В эти моменты необходимо четко объяснять сотрудникам, на что они могут рассчитывать в будущем.

Проблемы: 

  1. Разработка хорошей политики. Сложно разработать политику, которая будет понятной, гибкой, честной, законной и подходящей для организации.
  2. Внедрение политики. Организация должна соблюдать баланс между методичным применением политики и справедливостью, в особенности при смягчающих обстоятельствах. 
  3. Управление политикой. Организации должны периодично пересматривать политики, для того чтобы убедиться, что они удовлетворяют требованиям организации, и распространять их среди сотрудников.


В организации должна быть внедрена система управления изменениями для критичных для бизнеса систем.

Более чем один сотрудник должны иметь знания о сети организации и доступ к ней.

Краткосрочный результат:

  1. Убедитесь, что высший менеджмент соблюдает организационные политики. Иначе подчиненные будут считать, что они формальны. 
  2. Убедитесь, что руководство инструктирует сотрудников, подрядчиков и доверенных бизнес-партнеров. Подписываться о понимании и о готовности исполнять политики необходимо при найме и в дальнейшем каждый год или при каждом серьезном изменении в организации. 
  3. Убедитесь, что руководство обеспечивает сотрудникам доступ к политикам (например, на внутреннем сайте организации).
  4. Руководству необходимо ежегодно проводить обязательное обучение персонала. Обучение должно охватывать все аспекты организации, не только ИБ. Обучение должно включать темы : кадровой политики, юридических вопросов, физической безопасности и пр. Обучение должно включать в себя изменения в политиках, инциденты за предыдущий год и тренды ИБ.
  5. Руководству необходимо методично поддерживать политики во избежание появления фаворитизма и несправедливости. У отдела кадров должны быть механизмы для реакции на нарушения политик.
 
Практика 3. Включите ознакомление с внутренними угрозами в периодические тренировки по безопасности для всех сотрудников.


Без широкого понимания и поддержки со стороны организации технические и организационные меры защиты не дадут эффекта.


Не существует стандартного профиля инсайдера. По демографическим показателям инсайдера не определить.


Но существуют способы определить сотрудников с повышенным риском и внедрить стратегию по минимизации рисков.


На тренировках необходимо поощрять сотрудников распознавать инсайдера не по стереотипам, а по их поведению:

  • Угрозы организации или хвастовство, какой большой ущерб инсайдер может нанести организации.
  • Скачивание большого объема данных в течение 30 дней до увольнения.
  • Использование ресурсов организации для стороннего бизнеса или обсуждение начала конкурирующего бизнеса с коллегами.
  • Попытки получить пароли сотрудников или получить доступ посредством обмана или использования доверительных отношений (социальная инженерия).

Сотрудники должны знать приемы инсайдера и сообщать руководству при обнаружении признаков подобного поведения.


Программы обучения должны формировать культуру безопасности, подходящую организации, и включать весь персонал.


Обучение должно производиться минимум ежегодно.


Уязвимости в бизнес-процессах не менее важны, чем уязвимости технические.


Идеи для обучения:


Кадровый аспект: Пересмотрите политики по отношению к инсайдерам и процессы для их применения по всей организации. Это хороший момент напомнить организации про существующие программы поддержки занятости.


Юридический аспект: Пересмотрите политики по отношению к инсайдерам и обсудите все инциденты за последний год и то, как избежать их в будущем.


Физическая безопасности: Пересмотрите политики по отношению к инсайдерам и процедуры доступа к оборудованию организации работниками, подрядчиками и доверенными бизнес-партнерами. В дополнение пересмотрите политики по запрещенным устройствам (съемные носители, камеры и т.д.).


Права на данные: Обсудите проекты, которые могут иметь повышенный риск инсайдерской угрозы, к примеру, стратегические исследовательские проекты, в которых производится создание новых производственных тайн. Подчеркните важность повышения осведомленности по отношению к инсайдерской угрозе в этих проектах.


Информационные технологии. Сервисная служба может напомнить пользователям процедуры опознавания вирусов или прочего вредоносного кода. Это еще одна возможность обсудить, какие устройства запрещены или разрешены в различных информационных системах организации.


Разработка ПО. Команда разработчиков может пересмотреть важность аудита логов управления конфигурациями для обнаружения вредоносного когда.


Меры защиты должны быть ориентированы на миссию организации, критические активы, которые определены при полномасштабной оценке риска.



Необходимо напомнить о практиках:

  • Распознавания и оповещения о разрушительном поведении сотрудников.
  • Мониторинга приверженности организационным политикам и мерам защиты.
  • Мониторинга и контроля изменений в организационных системах.
  • Требования разделения полномочий между сотрудниками, которые изменяют учетные записи потребителей и тех, кто подтверждает модификации или платежные поручения.
  • Обнаружения и оповещения нарушения безопасности оборудования организации и физических активов.
  • Планирования противодействия потенциальным инцидентам проактивно.

Организация должна базировать свои обучения на документированной политике, включая конфиденциальные способы уведомления об инцидентах безопасности. 

Конфиденциальное оповещение позволяет сотрудникам сообщать о подозрительных событиях, не боясь последствий. Должны быть преодолены культурные барьеры против стукачества. Это возможно при условии, что если отсутствует самосуд и субъективная оценка, а руководство реагирует на инциденты ИБ честно и оперативно. Также необходимо уведомлять о попытках преступного сговора.


Сотрудники должны понимать ответственность за ИБ и то, что нарушения будут строго караться. В некоторых случаях сотрудник думает, что информация, за которую они отвечают является в большей мере их собственностью, а не собственностью компании.


Необходимо внедрить систему классификации информации и разработать меры защиты для каждого класса. Необходимо обучать сотрудников¸ как правильно использовать эту систему.


В некоторых случаях технические специалисты организации продают интеллектуальную собственность ввиду неудовлетворенности зарплатой или практиками организации. В этом случае признаки обиды часто видны до настоящей компрометации. Чтобы минимизировать влияние этой угрозы, необходимо во время обучения четко и честно обозначить карьерные перспективы и ожидания по заработной плате, а также прочие возможности. Это поможет снизить вероятность обиды.


Трудности:

  1. Управление программой обучения. Организация может столкнуться с тем, что сложно заинтересовать персонал после нескольких итераций обучения. Организации необходимо определить, насколько часто тренировать персонал и как измерить эффективность обучения. Иногда сложно обсуждать случившиеся инциденты без раскрытия критичной информации.
  2. Классификация информации.



Краткосрочный результат:

  1. Разработайте и внедрите всеобъемлющую программу обучения, на которой обсуждаются темы инсайдерской угрозы. Программа должна иметь поддержку высшего руководства. Руководство должно само принимать участие в обучении.
  2. Проводите обучение всего нового персонала перед тем, как давать им доступ к компьютерной системе. Не забудьте обучить уборщиков и обслуживающий персонал, программа для которых должна включать специфические сценарии безопасности, с которыми они могут столкнуться: социальная инженерия или вынос критичных документов.
  3. Постоянно тренируйте сотрудников. Тренировка не всегда должна состоять из инструкций в классе. Постеры, новостные письма, сообщения по электронной почте или короткая презентация являются эффективными методами обучения. Организация должна рассмотреть возможность внедрения одной или более этих программ.
  4. Установите анонимный конфиденциальный механизм для оповещения о инцидентах безопасности. Возможна стимуляция поощрениями.
  5. Команда ИБ может проводить периодические проверки организации, включая рабочее пространство. Сотрудников, которые сделали что-то хорошее для безопасности, например, остановившие нарушение ИБ без помощи специалистов, необходимо поощрять. Не обязательно деньгами. Сгодится грамота или публичная благодарность высшего руководства.



Практика 4. Начиная с процесса найма на работу отслеживайте и реагируйте на подозрительное или разрушительное поведение.


Необходимо проводить проверку биографических данных, включающую в себя:
  • Проверку на наличие криминального прошлого.
  • Проверку кредитной истории.
  • Проверку диплома об образовании и предыдущих работодателей.

Также необходимо проводить обсуждение к кандидатом на предмет компетентности и его подходе при инцидентах на рабочем месте.


При проведении проверки биографических данных необходимо учитывать законодательство конкретной страны.


Полученная информация должна учитываться при распределении полномочий.


Проверка подрядчиков и субподрядчиков должна производиться не менее тщательно.

Необходимо разбить позиции по уровням риска и в зависимости от уровня риска варьировать тщательность и состав проверок. При повышении на более рискованную позицию необходимо проводить повторную проверку сотрудника.


Тренировка руководителей – ценная инвестиция. В некоторых случаях стоит пресечь даже маленькое нарушение, чтобы в дальнейшем  не допустить перерост его в нарушение большое.


Финансовый аспект – мотив мошенничества. Поэтому необходимо отслеживать любые запросы от сотрудников по поводу финансовых проблем или неудовлетворенности ожиданиям. 


Унифицируйте шаги по мониторингу, которые необходимо предпринимать в случае подозрительных или разрушительных действий сотрудника. 


Подозрительным сотрудникам не следует позволять менять позицию в компании или скрывать результаты своей деятельности. 


Также необходимо обращать внимание на хвастовство по поводу возможности нанести разрушительные воздействия организации.


В целом, необходимо давать сотрудникам возможность разрешить трудности на работе.


При обнаружении подозрительной активности необходимо:

  1. Оценить права доступа сотрудника к критической информации или к сети организации.
  2. Изучать логи действий сотрудника.
  3. Дать сотруднику возможность справиться с ситуацией, которая вызывает подозрительное поведение.

Юрисконсульт должен убедиться, что мониторинг проводится в рамках закона.


Трудности:

  1. Передача информации о сотруднике. Это не всегда законно.
  2. Защита морали сотрудника. Организация не должна выглядеть «всевидящим оком», это может плохо отразиться на качестве работы сотрудников.
  3. Использование досье арестов.
  4. Мониторинг только той информации, контроль которой законодательно разрешен.


Краткосрочный результат:

  1. Убедитесь, что потенциальные сотрудники прошли тщательную проверку биографических данных, которая должна состоять, как минимум, из проверки наличия судимости и кредитной проверки.
  2. Поощряйте сотрудников сообщать о подозрительном поведении специальному персоналу для дальнейшего расследования.
  3. Исследуйте и фиксируйте все случаи подозрительного или вредоносного поведения.
  4. Применяйте политики и процедуры методично для всех сотрудников.
  5. Рассмотрите вариант предложения программы помощи сотрудникам.



Практика 5. Ожидайте и управляйте негативными ситуациями в рабочей среде.


Четко определенная и распространенная среди сотрудников организационная политика для обработки негативных ситуаций в рабочей среде способствует последовательному внедрению политик и уменьшению рисков возникновения инцидентов.



С политикой необходимо знакомить пользователя в его первый рабочий день.

Политика должна включать в себя:

  1. Допустимое поведение на работе
  2. Дресс-код
  3. Допустимое использование ресурсов
  4. Рабочие часы
  5. Развитие карьеры
  6. Разрешение конфликтов
  7. Прочие рабочие вопросы.

Сотрудники должны быть ознакомлены с политикой и наказанием за ее нарушение. Организация должна методично наказывать за нарушение политики. Отсутствие методичного внедрения политики вызывает противоречия в рабочей среде. Неисполнение наказания для определенного сотрудника может вызвать обиду у его коллег (т.к. для того первого закон не писан).


Повышения и прочие бонусы сильно влияют на рабочую среду, особенно когда сотрудники их ожидают, но не получают. Сотрудники не должны рассчитывать на премию, которой нет в трудовом договоре.


Но если премии были много лет подряд, их отсутствие может плохо сказаться на атмосфере. Поэтому периоды спада надо рассматривать как потенциально опасные. Если организация понимает, что не может предоставить премию или повышение, то необходимо уведомить об этом сотрудников как можно раньше и объяснить, почему так получилось.


Также потенциально опасным является период окончания договоров, когда неизвестно, будет ли пролонгация, или любой другой момент, когда приходится ограничивать трудовые ресурсы. Особенно внимательными надо быть, когда персонал знает, что планируется сокращение, но не знает, кто именно будет уволен.


У работника с проблемами должна быть возможность поиска помощи внутри организации, обсудить проблемы с руководством или отделом кадров без страха негативных последствий. Если проблемы связаны с внешними причинами (финансы, персональные причины), то программы помощи сотрудникам будут крайне полезны. 

Эти программы включают в себя конфиденциальные консультации для помощи сотрудникам, позволяющие восстановить их производительность, здоровье или общее благополучие. Это альтернативный способ решения проблем, нежели мошенничество или кража.


Трудности:

  1. Предсказание финансовых условий.
  2. Установление доверительных отношений между сотрудниками и руководством.



Краткосрочный результат:

  1. Усильте мониторинг за сотрудниками с приближающимися или текущими кадровыми изменениями в соответствие с организационными политиками и законами.
  2. Все уровни руководства должны регулярно сообщать о кадровых переменах всем сотрудникам. Это позволит добиться прозрачности организации, а работники смогут лучше планировать свое будущее.


Практика 6. Знайте свои активы.


Организация должна понимать не только свои физические активы, но и информационные активы. Необходимо понимать, где храниться самые значимые и чувствительные информация и оборудование. Физические активы, такие как серверы и рабочие станции, гораздо проще отслеживать и защищать. Данные сложнее отследить. Чтобы защитить данные, организация должна понимать типы данных, которые она обрабатывает, где они обрабатываются и хранятся.


Необходимо провести оценку рисков, которая согласно NIST. Risk Management Framework (RMF). Overview, состоит из шести шагов:

  1. Категоризируйте информационную систему и информацию, которая обрабатывается, хранится и передается этой системой, согласно анализу воздействия (impact analysis).
  2. Выберите начальный набор базовых мер защиты для информационных систем, основанный на категоризации безопасности. Настройка и расширение набора мер защиты для нужд организации проводится исходя из оценки рисков организации и локальных условий.
  3. Внедрите меры защиты и задокументируйте, каким образом меры применяются в рамках информационной системы и операционной среды.
  4. Оцените меры защиты с использованием подходящих процедур для определения уровня, при котором меры внедрены корректно, работают как задумано и производят желаемый результат с учетом удовлетворения требований безопасности к системе.
  5. Разрешите операцию в информационной системе, основанную на определении риска для операций организации и активов, людей, других организаций и нации, являющуюся результатом операции информационной системы, если решено, что этот риск приемлем.
  6. Осуществляйте мониторинг и оценку выбранных мер защиты в информационной системе на постоянной основе, включая оценку эффективности меры защиты, документирование изменений, вносимых в систему или окружение операции, проведение анализа влияния на безопасность соответствующих изменений и предоставление значения уровня безопасности системы уполномоченным лицам организации.

Перед тем, как организация перейдет к формированию стратегии защиты необходимо ответить на ключевые вопросы:

  • Какие типы данных обрабатываются (медицинская информация, персональные данные, номера кредитных кард, инвентарные номера и т.д.)?
  • Какие типы устройств обрабатывают эти данные (сервера, рабочие станции, мобильные устройства и т.д.)?
  • Где данные хранятся, обрабатываются и передаются (в одном месте, географически распределенно,  в иностранных государствах и т.д.)?

Типы данных и соответствующие уровни защиты описаны в NIST Special Publication 800-61 Volume 2.

Категоризация информации и информационных систем, основанная на их задачах безопасности (конфиденциальность, целостность, доступность) и потенциальном влиянии негативных событий (низкое, среднее или высокое), приведена в стандарте FIPS PUB 199.

Необходимо понимать, кто имеет доступ к активам.


Существует две методологии для создания полной описи: основанная на сервисе или на железе.

Некоторые организации используют каталог сервисов, а не типичную опись, который включает информационные сервисы, которые необходимы организации для достижения миссии. Сервисно-ориентированная опись устанавливает иерархию активов, начиная с высокоуровневого сервиса, который базируется на активах, которые базируются в свою очередь на других активах и т.д. Организация затем инвентаризует активы нижнего уровня. К примеру, если электронная почта – критический актив, то железо и софт – поддерживающие активы. Они в свою очередь поддерживаются e-mail серверов, антивирусным агентом, антивирусным сервером, e-mail приложением, которые являются активами, которые организация должна инвенторизировать.

Обход серверной – это трудоемкий, но эффективный метод сбора информации о железе для инвентаризации. Но учет железа не является полной описью. Организации необходимо плотно поработать совместно с системными администраторами для того, чтобы полностью ознакомиться с логическими активами, заключенными в железе. 

Администраторы датацентра могут предоставить следующую информацию:

  • Перечень всех поддерживаемых серверов с типами операционных систем (Windows, Linux, virtual environment и т.д.), платформами (Oracle, Java и т.д.) и типами среды (промышленная, сопровождения, моделирования или разработки).
  • Для каждого сервера – перечень ПО, запущенного на сервере и контакт поддержки для каждого ПО.
  • Для каждого экземпляра виртуальной среды – перечень того, что на ней функционирует и контакт владельца для каждого элемента.

Используя эту информацию, организации необходимо выстроить иерархию железа, похожую на инвентаризацию софта, начиная от высокоуровнего железного актива, разделяясь на поддерживающие уровни. В этом случае необходимо определить и инвентаризовать высокоуровневые и низкоуровневые активы.

Далее необходимо спросить ИТ-департамент, не забыли ли какое оборудование, контактные данные. Бизнес-владельцы должны подтвердить, что они действительно являются владельцами активов. Далее необходимо свести все в единую таблицу. Каждому активу надо назначить набор атрибутов, который поможет определить приоритет актива. Атрибутами могут выступать:

  • Тип среды (промышленная, сопровождения и т.д.).
  • Категории безопасности (конфиденциальность, целостность, доступность).
  • Критичность (высокая, средняя, низкая или такой атрибут неприменим).

Трудности:

  1. Изыскание времени и бюджета для проведения полноценной инвентаризации. Надо понимать, что без инвентаризации могут случиться бОльшие потери времени и бюджета.
  2. Поддержание  описи при изменениях.


Краткосрочный результат:

  1. Произведите инвентаризацию физических активов. Определите функции и владельцев активов. Определите тип данных в системе.
  2. Поймите, что какую информацию организация обрабатывает, поговорив с владельцами данных и пользователями по организации.
  3. Определите и зафиксируйте конфигурацию софта всех активов.
  4. Приоритезируйте активы и данные для определения критичных активов и данных.



Практика 7. Внедрите политики и практики сильных паролей и управления учетными записями.



Практика 8. Внедряйте разделение обязанностей и минимальные полномочия.



Практика 9. Определите точные соглашения по информационной безопасности для каждого облачного сервиса, особенно в части ограничения доступа и возможностей по мониторингу.



Практика 10. Установите строгие меры контроля доступа и политики мониторинга для привилегированных пользователей.



Практика 11. Официально установите меры контроля изменений (управление изменениями).



Практика 12. Используйте утилиту корреляции событий или SIEM-систему для фиксации, мониторинга и аудита действий сотрудников.



Практика 13. Установите мониторинг и контроль удаленного доступа со всех оконечных устройств, включая мобильные устройства.



Практика 14. Разработайте исчерпывающую процедуру увольнения сотрудников.



Практика 15. Внедрите процессы резервирования и восстановления.



Практика 16. Разработайте формализованную программу обработки внутренних угроз ИБ.



Практика 17. Создайте эталонное значение нормального поведения сетевого оборудования.



Практика 18. Будьте особенно бдительны по отношению к социальным сетям.



Практика 19. Закройте двери для неавторизованной утечки информации.

Для последних практик я сделал полный перевод текста, чтобы в дальнейшем использовать ссылки в диссертации. Поэтому не знаю, есть ли смысл этот полный перевод выкладывать.

Общее впечатление по документам крайне хорошее. Исследование проведено детально, на высоком уровне. Но определенные замечания и предложения есть.
Очевидно, что многие процессы, обозначенные в лучших практиках, совпадают с процессами ITIL. Поэтому хотелось бы увидеть некоторую связку между данными документами и библиотекой ITIL.

Организационная сторона вопроса (практика 16, программа обработки внутренних угроз) довольно громоздка. На мой взгляд, CERT сделал правильный шаг, разработав модель CERT-RMM, которая объединяет вопросы ИБ, НБ и операционного управления ИТ. Возможно, стоит рассмотреть команды по ИБ, НБ и противодействию инсайда в едином контексте, чтобы высшее руководство, заинтересованность которого необходима, более четко себе представляла фронт работ по обеспечению устойчивости организации.

Также необходимо отметить, что документ Common Sense Guide носит очень сильный американский оттенок. Взять те же упоминания про судебные разбирательства на тему дискриминации. Поэтому его необходимо рассматривать со скидкой на российское законодательство и менталитет.

Также, на мой взгляд, недостаточно детально рассмотрены общеорганизационные показатели, к примеру, текучесть кадров, которые сильно влияют на внутреннюю угрозу ИБ. 



Еще на тему защиты от инсайдеров читайте:

Управление риском ИТ-саботажа от CERT

Архитектура борьбы с инсайдом от CERT

Шпионаж и ИТ-саботаж: сходства и различия