Сергей Авдошин - Информатизация бизнеса. Управление рисками

Среди прочих инсайдерских угроз следует выделить фото– и видеосъемку бумажных документов, содержимого мониторов, вводимых паролей, кражу носителей резервной информации, «рабочих» жестких дисков, установку внутренних устройств-«жучков», бесконтрольную отправку копий документов, голосовую передачу значительных объемов информации, вынос бумажных документов, хакерские атаки, «взлом» сетей. Также бывают случаи кражи переносных компьютеров и внешних носителей, установки вредоносного ПО, визуального «съема» информации с мониторов, бумажных документов, вышедших из эксплуатации носителей, выброшенных документов. Для целей несанкционированного доступа к информации может быть использована социальная инженерия, оказывающая воздействие на психологию сотрудников с целью выманивания паролей, запуска ими специально подготовленных программ.

Согласно отчету Computer Crime and Security Survey, ущерб от неосторожных и неправомерных действий сотрудников в несколько раз превышает объем причиненного вреда от действий вирусов и хакерских атак. То есть наибольшая угроза ИТ-безопасности исходит изнутри организации. Сотрудники компании (инсайдеры) имеют намного больше возможностей нанести вред организации, в отличие от хакеров или внешних злоумышленников. Инсайдерские утечки данных через локальные порты компьютеров сотрудников, съемные носители и персональные мобильные устройства стали гораздо опаснее сетевых угроз. От внутренних «нарушителей порядка» нельзя защититься так же просто, как от вирусов: установить антивирус и регулярно обновлять сигнатурные базы, – потребуется выстроить гораздо более сложную, комплексную систему защиты. Растущая распределенность вычислительных процессов ведет к тому, что все большая часть корпоративных данных создается, обрабатывается и хранится на персональных компьютерах сотрудников, включая не только настольные, но и переносимые компьютеры – ноутбуки. Наиболее существенным по влиянию фактором стал резкий рост в последние годы размеров памяти съемных носителей при снижении их цены, габаритов и простоте инсталляции, что привело к общедоступности, удобству и высокой маскируемости (из-за малых размеров) этих устройств. Повсеместное распространение беспроводных сетей только усугубляет проблемы информационной безопасности.

Многие ERP-системы не обладают средствами защиты от внешних инсайдеров, хотя располагают сильными средствами защиты от неавторизованного доступа, обеспечения безопасности самих приложений и грамотного администрирования, которое прежде всего подразумевает под собой наличие четких привилегий сотрудников компании на доступ к ресурсам информационной безопасности.

При оценке решений для управления доступом ИТ-специалисты должны учитывать следующие требования:

• поддержка различных методов аутентификации;

• политики управления доступом на базе ролей и правил;

• интеграция возможностей аутентификации и авторизации с пакетными корпоративными приложениями;

• унифицированные политики управления доступом для различных платформ и организаций;

• контроль числа пользователей в системе и делегирование прав;

• аудит-системы безопасности и защита журнала протоколирования;

• надежные функции аудита и отчетности для всех событий доступа.

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от несанкционированного доступа (НСД) любой информационной системы. Идентификация – присвоение пользователям идентификаторов (уникальных имен или меток), под которыми система «знает» пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов ИС и т. д. Идентификация нужна и для других системных задач, например для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией. Аутентификация – установление подлинности, проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в ИС пользователь вводит имя и пароль. На основании этих данных система проводит идентификацию (по имени пользователя) и аутентификацию (сопоставляя имя пользователя и введенный пароль).

Для управления идентификацией и доступом необходимо ответить на вопросы: кто и куда имеет доступ, чем занимались пользователи ИС, когда они это делали, как можно это проверить? Почти во всех компаниях используют идентификаторы пользователей с определенными правами доступа – за этими идентификаторами стоят штатные сотрудники, временные сотрудники, партнеры, клиенты и другие люди, которые участвуют во всех операциях.