Нетрадиционные методы обеспечения требований политики информационной безопасности

Нетрадиционные методы обеспечения требований политики информационной безопасности

Определение ответственности за нарушение ТПИБ - несомненно, один из важнейших разделов самой политики. Если не будет предусмотрено действенных наказаний за нарушение политики, то сама политика будет неработоспособна. Это аксиома. В данной статье автор делится опытом «закрытых контор» борьбы с внутренними нарушителями требований Политики информационной безопасности (ТПИБ).

01/04/2004

©2004 Inck-Vizitor (inquisitor@securitylab.ru)
Специально для Securitylab.ru. Все права на статью принадлежат автору. Полная или частичная перепечатка статьи (кроме выдержки из инструкции пользователя) запрещена и попадает под действие статьи 146 УК РФ.

В данной статье автор делится опытом «закрытых контор» борьбы с внутренними нарушителями требований Политики информационной безопасности (ТПИБ).

Как известно, обеспечение ТПИБ должно осуществляться как техническими средствами защиты, так и организационными. Одна из важнейших задач отдела технических средств защиты информации создать условия максимального предотвращения возможности нарушений пользователями ТПИБ. Из инструкции пользователя давно уже должны быть исключены такие архаичные требования, как «пароль должен назначаться не менее … символов», «перед открытием файл должен проверяться антивирусом» и т.д. Пользователь не должен иметь технической возможности назначения пароля, несоответствующего ТПИБ. Антивирус должен быть настроен таким образом, чтобы не требовалось вмешательства пользователя. И так далее.

Однако не для всех ТПИБ возможно организовать технические средства защиты. Для регламентации таких вопросов существует очень полезный для всех организаций документ, как инструкция пользователя. Не буду приводить полный текст типовой инструкции, опущу преамбулу, что пользователь должен и за что отвечает. Перечислю сразу то, что пользователю КАТЕГОРИЧЕСКИ ЗАПРЕЩЕНО:

  1. использовать компоненты программного и аппаратного обеспечения в неслужебных целях;
  2. использование предоставленного оборудования, каналов связи и телекоммуникационных услуг для извлечения тем или иным путём личной выгоды, в том числе и материальной;
  3. самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами рабочих станций; (Комментарий: согласитесь, что не всегда возможно предотвратить нарушение данного требования только техническими средствами защиты.)
  4. предоставление закреплённого за ними компьютера в пользование другим лицам или сотрудникам без должного контроля за действиями этих лиц;
  5. осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;
  6. обсуждать производственные вопросы (с использованием конфиденциальной информации) с партнерами/коллегами вне рабочих кабинетов или специальных помещений (переговорных), а также вести телефонные переговоры с использованием конфиденциальной информации в присутствии посторонних.
  7. записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных носителях информации (гибких магнитных дисках и т.п.);
  8. оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры); (Комментарий: опять таки можно задействовать автоматическую блокировку через n минут, но кто поручится, что злоумышленник не воспользуется компьютером через n-1 минуту?)
  9. оставлять без личного присмотра на рабочем месте или где бы то ни было своё персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);
  10. умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок – ставить в известность ответственного за безопасность информации и руководителя своего подразделения.
  11. сообщать кому бы то ни было (записывать в доступном месте) свой пароль (пароли), а также передавать свое индивидуальное устройство идентификации всем кроме как под расписку руководителю своего подразделения или ответственному за информационную безопасность в подразделении.

Это, конечно, хорошо, если есть Политика информационной безопасности, есть инструкция пользователей, подписанная всеми пользователями, но если не разработан план проведения регулярных мероприятий по выявлению нарушителей, грош цена такой политике.

Предлагаю вашему вниманию несколько игр, направленных на выявление нарушителей. Почему именно игр? Нельзя забывать, что сотрудники департамента информационной безопасности тоже люди. И как все люди, хотят больше зарабатывать и меньше работать. Игровая форма мероприятий позволит заинтересовать безопасников, придаст особого шарма и заставит с большей ответственностью и любовью относиться к своим обязанностям.

Итак игры:

Игра 1. «Разминка».

Ведущий и несколько игроков (количество определяется потребностями) слаженным порядком проникают в проверяемый офис. Ведущий размещается по середине помещения, игроки занимают ключевые позиции (двери, окна). Ведущий громогласно объявляет: «Внимание, плановая проверка режима. Всем освободить рабочие места и выйти на середину комнаты. Руки на пояс, ноги по ширине плеч!» Игроки начинают производить поиск записанных паролей. Рекомендуется проверять на (под) мониторами, под клавиатурой, под сидением, под столешницей, на стенках, в тумбочках и т.д. В некоторых случаях можно вежливо попросить пользователей предъявить на просмотр личные вещи (понятно, сугубо добровольно, но лучше не отказываться). Ведущий тем временем руководит процессом разминки пользователей. Под ритмичную музыку, на раз, два, три, четыре, пользователи совершают различные наклоны, повороты и вращательные движения. Рекомендуется не затягивать проверку, обычно достаточно 5-15 минут. У вас, возможно возникнет вопрос, а для чего проводить такие обыски именно во время рабочего дня? Разве нельзя проделать тоже самое, но без пользователей? Ан нет! В данном случае присутствует еще немаловажный воспитательный аспект и эффект психологического воздействия на пользователей. Данная игра позволит выявить нарушителей 11, а в определенных случаях 3, 4, 5, 7, 8, 9 требований.

Игра 2. «Жмурки».

Играют парами. Ведущий ведет ведомого с завязанными глазами по коридорам. Обнаружив праздно шатающегося, ведущий спрашивает у ведомого: «он или она?». Если ведомый угадывает, то ведущий просит пользователя предъявить свой уникальный идентификатор. В случае его отсутствия, нарушитель записывается в журнал. При его наличии ведущий меняется с ведомым ролями. Эта игра позволит выявить нарушителей требования №9.

Игра 3. «Пошел поссать».

Эту игру можно совмещать с игрой в жмурки. Пока одна пара играющих отвлекает пользователя, другая пара, начинает обыск рабочего места пользователя. Отличие от игры в разминку в данном случае, в том, что больше шансов обнаружить нарушение требований 1, 2, 3, 4, 5, 7, 8, 9. Особый интерес данная игра вызывает при соблюдения правила, по которому игроки должны уложиться до прихода пользователя.

Игра 4. «Напиши другу».

В случае обнаружения в играх 1 и 3 пароля, персонального идентификатора или незалоченного экрана, можно сыграть в очень занимательную игру «напиши другу». В качестве друга может выступать руководитель пользователя, руководитель отдела кадров или руководитель службы безопасности. От фантазии игрока зависит насколько интересной будет эта игра. Можно проводить целые соревнования по остроумности и находчивости. Понятно, что письмо с просьбой депремирования в связи с невыполнением ТПИБ наиболее безобидный и неоригинальный вариант.

Игра 5. «Хоняпотц».

Как обнаружить стремление пользователя совать свой нос куда не следует? Как обнаружить на начальных этапах потенциальных нарушителей требований №10? Способов реализации ловушки для «любопытного» пользователя может быть много. Предлагаю для рассмотрения самый простой, не требующий высокой квалификации игрока. Создается специальный сетевой ресурс (например, расшаренная папка), с названием «TopSecret». К ресурсу дается описание (например в файле !dirinfo), где сообщается о том, что информация в папке является секретной. И кладется какой-нибудь файл, с включенным аудитом. Потом смотришь логи и радуешься.

Игра 6. «Подсадная утка».

Игра парами. Один прикидывается лохом и начинает крутиться около контролируемого пользователя (смотрит розетки, копается с соседним компьютером и т.д.). Второй звонит пользователю по телефону и пытается его разговорить на конфиденциальные темы. Если по фразам пользователя наша подсадная утка сможет реконструировать смысл информации – значит, игра прошла успешно. Данной игрой проверяется выполнение требования №6.

Игра 7. «Свет мой, зеркальце, скажи…».

Несколько игроков случайным образом выбирают пользователей, к экранам которых подключаются средством удаленного администрирования. Побеждает тот, кто раньше других обнаруживает нарушение требований №№ 1, 2. Играя в эту игру, можно делать ставки, что еще сильнее повышает интерес к игре.

Понятное дело, что в каждой организации есть свои особенности. Кому-то не все игры могут подойти. Главное, чтобы подход к обеспечению ТПИБ был оригинальным, и тогда вы и сами сможете придумывать свои игры. Не забудьте поделиться своими идеями.

Меры наказания.

Ну хорошо, выявили мы нарушителей, а что дальше?

Определение ответственности за нарушение ТПИБ - несомненно, один из важнейших разделов самой политики. Если не будет предусмотрено действенных наказаний за нарушение политики, то сама политика будет неработоспособна. Это аксиома. Давайте рассмотрим, какие существуют традиционные методы воздействия на нарушителей? На основании Статьи 139 Гражданского кодекса, за нарушение требований политики безопасности руководство вправе применить к сотруднику следующие дисциплинарные взыскания:

  • Депремирование (Здесь стоит отметить, что в коммерческих организациях широко распространенна такая мера воздействия, как "Штрафование". Но данный вид воздействия (в чистом виде) незаконен, даже если он прописан в трудовом контракте (в таком случае трудовой контракт незаконен). Поэтому штрафование я отношу, как частный случай депремирования.);
  • Замечание;
  • Выговор;
  • Увольнение.

Кроме гражданской и административной ответственности, за нарушение требований политики безопасности может последовать уголовная ответственность по статьям 183, 272, 273, 274, 283, 284, 293 УК РФ.

Наиболее эффективная тактика обеспечения соблюдений ТПИБ – использование кнута и пряника. Причем наиболее оптимальная пропорция – 3:1 в пользу пряника. Т.е., например, обнаружили пользователя в коридоре с персональным идентификатором – выпишите премию в 5 баксов. За год этот пользователь ни разу не попался без идентификатора – дополнительно 10% к годовой премии. Другой пользователь попался без идентификатора – ему ничего не сделали, другой раз – ничего не сделали, на третий раз попался – урезать кварталку.

Если ты, мой дорогой читатель, работаешь в компании, в которой есть возможность нормально поощрять своих сотрудников за соблюдение ТПИБ, а также если ты очень болезненно относишься к разным общечеловеческим и гуманным ценностям, то лучше тебе остановиться в чтении на этом абзаце.

Потому что я продолжу давать советы тем, кто не имеет средств для поощрений, но зато имеет расширенные возможности для наказаний (в предвкушении злорадно потираю руки).

Итак, классифицируем пользователей-нарушителей на две категории:

  • Заблудшая овечка. Этот пользователь по рассеянности и небрежности изредка допускает ошибки при соблюдении ТПИБ.
  • Баран-рецидивист. Этот пользователь регулярно допускает ошибки при соблюдении ТПИБ, и уже неоднократно предупреждался с пристрастием, но почему-то не понял.

В зависимости от того, к какой категории будет причислен нарушитель, к нему будут применяться различные методы наказания.

Сразу оговорюсь, что в данной статье я не рассматриваю действия профессиональных диверсантов, шпионов и предателей, к которым можно применять методы воздействия не заботясь о целостности их телесных оболочек. Речь идет именно о пользователях, к которым небесполезно применять наказания и есть шанс их исправления. Кроме того, нужно иметь ввиду, что в условиях демократизации общества, гласности и правопорядка недопустимо, чтобы на пользователях оставались какие-либо следы воспитательного воздействия со стороны службы безопасности.

Наказание «заблудших овечек».

Известно, что угроза наказания и чувство неизбежности наказания являются порой более эффективными мерами воздействия, чем само наказание. Поэтому к пользователю, изредка допускающему незначительные ошибки, не следует применять строгие виды наказания. Я бы рекомендовал провести с таким пользователем «дополнительный инструктаж». Чтобы такой инструктаж стал наиболее эффективным, необходимо создать необходимый антураж. Лучше всего инструктаж проводить в серверной комнате при температуре в 16 градусов Цельсия и при аварийном освещении. Стул должен быть крайне неудобным и максимально низким. Проводить инструктаж лучше всего вчетвером. Фронтально размещается специалист с самым магнетическим и холодным взглядом. В ходе инструктажа он должен молчать и всем своим видом демонстрировать укор. Позади располагается специалист с самым магнетическим голосом. Именно ему предстоит проговорить основной массив текста. Текст должен быть достаточно длинным и однообразным, но резюме должно быть четким и понятным, оно должно особенным образом подчеркиваться голосом. Справа размещается специалист с самым басовитым голосом, а слева – с самым тонким. Им предстоит в ключевых моментах проникновенно с придыханием и растянуто произносить «Да….». В таком инструктаже не должно быть мелочей, все должно быть досконально продуманно и отрепетировано. Помните, что от качества ваших действий зависит станет ли пользователь «бараном» или нет! С гордостью могу отметить, что за последние 4 года мне не приходилось наказывать «баранов», т.к. качественно была проведена воспитательная работа. Сунь Цзы сказал: "одержать сто побед в ста сражениях - это не вершина превосходства. Подчинить армию врага не сражаясь - вот подлинная вершина превосходства".

Наказание «баранов-рецидивистов».

Ну что говорить, если в компании есть «бараны», значит вы где-то недорабатываете. Возможно, вам не хватает харизмы или воли, а возможно вы лишний человек в структуре информационной безопасности. Но, тем не менее, проблема есть и ее надо решать. С «баранами» сильно не церемонятся. Если они не уволились на этапах инструктажа, значит они очень сильно заинтересованы в этой работе. «Бараны» обычно гнилые люди, поэтому перед наказанием нужно тщательно проверить наличие различных следящих, подслушивающих и передающих средств и подавить их. К сожалению, я не могу в данной статье привести ряд ноу-хау средневековой инквизиции и тайной канцелярии, но поделится одним методом, который я перенял от армейцев во время второй чеченской компании, могу. Используется обыкновенный полевой телефон. Знаете, такой с ручкой, которую крутишь и кричишь: «Барышня! Смольный!»? Чем сильнее крутишь ручку, тем громче на том конце звенит. Так вот, если от этого телефона подвести к наказуемому проводки, то он начинает получать неописуемые удовольствия, которые зависят от скорости и резкости вращения ручки. На первый раз, «барану» достаточно слегка приложить проводки и слегка покрутить ручку. Если он опять не поймет, можно тоже самое совершать на наиболее чувствительных участках тела и с большей интенсивностью. Если у вас нет такого телефона, то его достаточно просто сделать самому, не мне вас учить. Главное, чтобы с виду этот прибор не выглядел слишком подозрительно.

Применяя наказания, нужно иметь ввиду, что разные люди по разному переносят боль, например, азиаты менее чувствительны к боли, а у некоторых может быть слабое сердце. Поэтому нужно аккуратно относиться к своим обязанностям и помнить: это вы для пользователей, а не пользователи для вас. Вы должны служить им надежными защитниками-волкодавами, и если вам для их защиты необходимо их иногда покусывать, не привыкайте ко вкусу крови и держите себя в руках!

Заключение

Автор приносит свои извинения всем, кого нечаянно обидел данной статьей, а также надеется, что, несмотря на праздничный характер статьи, умеющие читать, да нашли себе полезные моменты.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину