Този кратък материал има за цел да опише основни елементи от съдържанието на Common Sense Guide to Mitigating Insider Threats - 4th Edition / от декември 2012, разработка на Software Engineering Institute, организация за изследвания и развитие, спонсорирана съвместно от Министерство на отбраната на САЩ и Carnegie Mellon University.
Забележки:
1. Навсякъде по-долу в текста под „Ръководство” да се разбира „Common Sense Guide to Mitigating Insider Threats - 4th Edition”;
2. За целите на това Ръководство под злонамерени „вътрешни хора” или злонамерен „вътрешен човек” се разбира настоящ или бивш служител, контрактор или бизнес партньор, който отговаря на следните критерии:
- има или е имал упълномощен достъп до мрежа (и), системи или данни /информация на организацията;
- умишлено превишава или умишлено използва този упълномощен достъп по начин, който нарушава конфиденциалността, интегритета или наличността / достъпността на данни / информация или на информационните системи на организацията, като цяло.
ВЪВЕДЕНИЕ
Заплахите, предизвиквани от „вътрешни хора” се реализират чрез комбинация от технически, поведенчески и организационни приоми и трябва да бъдат отчетени в съответните политики, процедури и приложени технологии в съответната организация. В този смисъл, това Ръководство е предназначено за мениджърите на организацията, вкл. и тези от звената за човешки ресурси, правно осигуряване, ИТ, сигурност и др. Ръководството ще помогне на висшия мениджмънт да разбере целия обхват на проблема от заплахите, предизвиквани от „вътрешни хора”, а също създава обективни предпоставки за обсъждане на този проблем с целия личен състав на организацията, както е приложимо.
В Ръководството са описани 19 (деветнадесет) практики, които организациите би трябвало да въведат в изпълнение, с цел превенция и прихващане / разкриване на заплахите, предизвикани от „вътрешни хора”. Към всяка от тези практики има примери за неприемливи събития по сигурността, за организации, които не са внедрили съответната практика. В допълнение са разгледани и предизвикателствата, свързани с внедряване на съответната практика, решения за нейната практическа реализация и връзката на тези решения с решения / препоръки в международно признати стандарти по сигурността.
В Ръководството са разгледани 6 (шест) базови групи в организациите, имащи отношение към сигурността, а също и съответните практики, които би трябвало да внедрят за противодействие на заплахите от „вътрешните хора”. Тези базови групи са:
- Човешки ресурси;
- Правно обслужване;
- Сигурност (физическа);
- Информационни технологии (вкл. защита на информацията);
- „Собствениците” на данни / информация;
- Разработване / придобиване на софтуер
Основните практики, за противодействие на заплахите от злонамерени „вътрешни хора”, обект на разглеждане от това Ръководство са, както следва:
1. Оценка и анализ на рисовете към организацията от заплахи, произтичащи от „вътрешни хора” и бизнес партньори.
2. Ясно и точно документиране, и последователно прилагане на политиките, и контролите по сигурността.
3. Провеждане на периодично обучение и/или запознаване на всички служители на организацията с потенциалните заплахи към сигурността, произтичащи от „вътрешни хора”, и последствията от тяхната реализация.
4. Наемане на персонал, наблюдение и противодействие на неприемливо поведение.
5. Предотвратяване и управление на нежелателни последствия, произтичащи от състоянието на работната среда.
6. Познаване на активите (от всякакъв тип) на организацията.
7. Въвеждане на строги политики и практики за управление на паролите за достъп.
8. Прилагане на принципа за разделяне на задълженията и делегиране на най-малко привилегии.
9. Изрично определяне на споразумения за каквато и да било „облачна” ИТ услуга (ползвана от организацията), и специално, за ограничаване на достъпа и наблюдение на способностите.
10. Създаване на стриктен контрол на достъпа и наблюдение (политика за наблюдение и контрол) на привилегированите потребители.
11. Въвеждане на процес на контрол за промените в ИТ системите.
12. Внедряване на система за управление (вкл. за корелация ) на информацията и възникналите събития по сигурността.
13. Наблюдение и контрол на отдалечения достъп от всички крайни точки, вкл. от мобилни устройства.
14. Разработване и прилагане на цялостна процедура по сигурността при прекъсване на трудовите взаимоотношения.
15. Внедряване на сигурни процеси за временно запазване, архивиране и възстановяване на информацията.
16. Разработване и внедряване в организацията на цялостна програма за противодействие на заплахите, произтичащи от злонамерени „вътрешни хора”.
17. Определяне на базови критерии за оценка на нормалното поведение на мрежовите устройства.
18. Обръщане на особено внимание и бдителност към социалните медии.
19. Противодействие към неупълномощеното „извличане” на данни.
В Ръководството, освен традиционните заплахи от настоящи или бивши служители на организацията са разгледани и някои допълнителни аспекти на заплахите от „вътрешни хора”, както следва:
- „Негласни” споразумение с външни за организацията лица – Много от „вътрешните хора”, които крадат или променят данни / информация са били наети от от външни лица, в т.ч. от организираната престъпност или от чужди организации / държави;
- Бизнеспартньори – Проучванията регистрират нарастване на престъпленията от „вътрешни хора” на утвърдени / благонадеждни бизнес партньори, на които е предоставен достъп до мрежите, системите и/или данните на своите клиенти;
- Сливания и придобиване на бизнес организациии – Съществува високо ниво на риск от заплахи от „вътрешни хора”в организациите, придобити от друга организация. Организациите трябва да разберат увеличаващия се риск от заплахи от „вътрешни хора”, както в придобиващата, така и в придобитата организация, още повече, че служителите са подложени на допълнителен стрес и нестабилен вътрешен организационен климат;
- Културни различия – Въпросите свързани с културата биха могли да повлияят на поведението на служителите – напр. служител, който е отрасъл в среда извън страната или е бил дълго време извън страната е възможно да не може да покаже поведение и маниер, възприети в страната (организацията);
Всяка от практиките (19 бр.) е детайлно описана в следния формат:
1. Наименование на практиката
2. Кое звено от организацията има отношение към практиката (изпълнява, контролира, разработва и т.н.) – напр. „Човешки ресурси”, „Правно осигуряване”, „Физическа сигурност (охрана)”, „ИТ” и др. (както е приложимо за конкретната организация)
3. Описание на мерките за защита
4. Предизвикателства за внедряване
5. Примери, свързани с практиката
6. Конкретни решения за реализация на практиката
Връзка към Common Sense Guide to Mitigating Insider Threats - 4th Edition:
www.sei.cmu.edu/reports/12tr012.pdf
Въпроси (и повече информация), свързани с темата, вкл. и по практическото изграждането на цялостна система за противодействие на заплахите, произтичащи от злонамерени „вътрешни” хора, могат да поставят чрез електронна поща на адреси:
infosecservicebg@gmail.com
infosecservice@study-security.com
Пламен Каменов / +359 886 655 315
Няма коментари:
Публикуване на коментар