Общая информация

Курс "Введение в защиту информации от внутренних ИТ-угроз" посвящен постановке задач по предотвращению реализации внутренних ИТ-угроз – изменению, уничтожению и хищению информации легальными пользователями. В этом курсе слушатель научится определять "болевые точки" информационных систем и оценивать необходимость сочетания различных технологических решений и организационных методов борьбы с внутренними ИТ-угрозами.

Статистический анализ показывает, что внутренние ИТ-угрозы находятся в лидерах информационных угроз, отодвинув на второй план традиционных лидеров – хакерские атаки и вирусы. Это связано с несколькими причинами. Первая – успех производителей средств защиты от внешних угроз и повсеместное распространение их продуктов. Антивирусные компании и производители межсетевых экранов и систем обнаружения вторжений предлагают продукты, на которых можно построить гибкую многоуровневую защиту информационных систем. Успехи в биометрии и других системах аутентификации позволяют построить удобную и эффективную систему защиты от несанкционированного доступа, включающую единую точку входа и контроль над учетными записями. Вся концепция информационной безопасности строится на разделении прав доступа к ИТ-ресурсам на "санкционированные" и "не санкционированные".

Приблизившись к решению проблемы защиты периметра информационной системы снаружи, производители средств информационной безопасности оставили без внимания то, что делает пользователь с "санкционированным" доступом. Вендоры программного и аппаратного обеспечения, словно сговорившись, увеличивают количество каналов, портов и протоколов, по которым легальный пользователь может похитить информацию – системы становятся все более дружелюбными к пользователю. Беспроводные протоколы IrDA, Bluetooth и WiFi, сменные носители (от традиционных flash-носителей до медиа-плееров и фотокамер), программы синхронизации мобильных телефонов и PDA, позволяют достаточно легко передавать огромные объемы информации. Доступ к высокоскоростным каналам Интернет, постоянно растущий объем файлов, которые возможно присоединять к почтовым и IM сообщениям позволяют пересылать большие объемы информации.

Технические средства защиты

Если взглянуть на классификацию продуктов и услуг в области информационной безопасности, опубликованную IDC, мы не увидим там ни одного продукта, способного контролировать внутренние ИТ-угрозы, в частности утечку и искажение конфиденциальных данных. Ни межсетевые экраны, ни антивирусные продукты, ни системы обнаружения вторжений не могут предотвратить злоупотребления пользователей. Системы разделения доступа, биометрические и другие системы идентификации, шифрование конфиденциальных данных также не способны защитить информацию – у инсайдера есть все права доступа, пароли и ключи. Миллиарды долларов, вложенные в эти системы безопасности, оказались бессильными против рядового клерка с iPod-ом. Большинство электронных утечек в последние годы было раскрыто и предотвращено не средствами информационной безопасности, а старыми добрыми оперативными средствами – физическим слежением за сотрудниками, кадровой работой и т.д.

Однако отношение количества сотрудников службы безопасности, ответственных за сохранность информации к количеству сотрудников, имеющих доступ в информационную систему, уменьшается с ростом компании. Когда один офицер информационной безопасности приходится на несколько сотен сотрудников, имеющих доступ к конфиденциальной информации, оперативные методы не дают должного эффекта. Начиная с пятисот пользователей информационной системы, компании начинают всерьез задумываться о технологических решениях, которые могли бы повысить эффективность работы службы информационной безопасности. Именно при таком количестве пользователей в компаниях обычно вводится должность офицера информационной безопасности. На первом этапе компания готова потратить от 100 до 200 долларов за рабочее место для защиты конфиденциальной информации в своей информационной системе.

С 2004 года в классификации продуктов информационной безопасности появился новый класс продуктов, который IDC называет ILD&P (Information Leakage Detection & Prevention), а Ernst&Young – Anti-Leakage Software. К этому классу продуктов стали относить продукты, изначально относившиеся к классу управления инфраструктурой – контроль доступа к ресурсам информационной системы, мониторинг событий в информационной системе, контентную фильтрацию информационных потоков, и другие продукты смежных категорий.