18.02.2009

Лучшие практики по борьбе с внутренними угрозами

Часто координационный центр CERT воспринимается многими специалистами, как организация, которая анализирует инциденты ИБ и публикует статистику в этой области. Отчасти это так. Но гораздо полезнее материалы, которые публикует CERT по совершенно иным вопросам. В частности недавно CERT опубликовал уже третью редакцию (версия 3.1) своего отчета "Common Sense Guide to Prevention and Detection of Insider Threats".

88-тистраничный отчет отвечает на многие интересные вопросы:
  • что такое внутренняя угроза и кто такой инсайдер (в контексте ИБ)?
  • насколько реальна внутренняя угроза?
  • можно ли остановить инсайдеров?
  • типы внутренних угроз (оказывается, утечки - не самая распространенная внутренняя проблема ;-)
  • каковы лучшие практики по борьбе с инсайдерами и внутренними угрозами?
В документе описаны 16 основных рекомендаций:
  1. Рассматривайте внутренние угрозы в контексте ИБ и управления рисками всей компании.
  2. Предусмотрите вопросы борьбы с внутренними угрозами в технических и организационных политиках ИБ.
  3. Проводите регулярно повышение осведомленности сотрудников.
  4. Мониторьте и реагируйте на подозрительное поведение, начиная с приема на работу.
  5. Предвосхищайте и управляйте негативными повседневными рабочими вопросами.
  6. Отслеживайте и защищайте оборудование.
  7. Внедряйте политики и практики управления паролями.
  8. Принцип разделения полномочий и минимума привилегий.
  9. Учитывайте внутренние угрозы при разработке ПО (SDLC).
  10. Обратите внимание на привилегированных пользователей.
  11. Контролируйте изменения в системе.
  12. Регистрируйте и мониторьте действия сотрудников.
  13. Эшелонированная оборона против удаленных атак.
  14. Деактивируйте учетную запись после увольнения сотрудника.
  15. Внедрите систему защищенного резервирования и восстановления данных.
  16. План реагирования на инциденты инсайдеров.

Нельзя сказать, что CERT придумал что-то новое, но они аккумулировали все разрозненные рекомендации в рамках единого подхода и опубликовали его.

ЗЫ. А вообще CERT ведет обширные исследование по части внутренних угроз и публикует их результаты на своем сайте.

7 коммент.:

Ригель комментирует...

Вещь. Спасибо.

Quiet Zone комментирует...

Новаторство, действительно, содержится только в способе изложения и собственной классификации внутренних угроз, причем кому-то она может показаться удобной, а кому-то нет. Но изложено красиво, не спорю:)
Осталось дождаться столь же красивого развития темы "Сan insiders be stopped?", например в виде практческого исследования эффективности мер противодействия в различных компаниях. Причем интереснее нетехническая часть комплекса, например, мотивация. "Сколько" мотивировать? Ведь убывание предельной полезности вознаграждения (не только материального) и комфорта имеет место, так где остановиться? С этой точки зрения борьба с внутренними угрозами в значительной степени искусство управления, потому и интерсен опыт других. Например, относительный рост ИБ в компании на каждые 1000 рублей, доплаченных привилегированным пользователям:)

Алексей Лукацкий комментирует...

А какой толк от такого исследования? Ведь все очень субъективно и зависит от множества параметров. Врядли можно найти общие зависимости в этом вопросе.

Quiet Zone комментирует...

В том-то и дело! Как говорил один герой у Стругацких, неинтересно решать задачу, для которой решение и без того имеется;) А здесь речь именно о нахождении общих черт в вопросе, который казалось бы, не предполагает таковых. Грубо говоря, формируем полный набор различных инструментов, и смотрим, у кого какой комплект оказался наиболее эффективным на практике, а по полученным результатам предлагаем своеобразный baseline для борцов с внутренними угрозами.
ЗЫ Вообще тема находжения зависимостей там, где их не предусмотрено, совсем не нова. Тот же Шнайер с его чувством безопасности, или аналогии (кстати, твои, по-моему, не помню точно) с животным миром.

Алексей Лукацкий комментирует...

Да я не про то ;-) У тебя положительный эффект от принятых мер может быть не самих мер, а от каких иных факторов, которые ты не учел в исследовании. Культурные особенности, уровень зрелости, отношение женщин и мужчин, наличие у руководства военного прошлого и т.п.

Я не исключаю, что скрытые зависимости есть. Не зря же теорию хаоса придумали. Но вот ее применение на практике, да еще и в ИБ, сопряжено с большими трудностями. По крайней мере пока...

Quiet Zone комментирует...

Тамкто-то на банкире тему для диплома искал, вот надо предложить. Как знать, может вырастет свой Джон Нэш;)

Алексей Лукацкий комментирует...

Тот, кто искал, не потянет ;-)