Определение ответственности за нарушение ТПИБ - несомненно, один из важнейших разделов самой политики. Если не будет предусмотрено действенных наказаний за нарушение политики, то сама политика будет неработоспособна. Это аксиома. В данной статье автор делится опытом «закрытых контор» борьбы с внутренними нарушителями требований Политики информационной безопасности (ТПИБ).
01/04/2004
©2004 Inck-Vizitor (inquisitor@securitylab.ru)
Специально для Securitylab.ru. Все права на статью принадлежат автору. Полная
или частичная перепечатка статьи (кроме выдержки из инструкции пользователя)
запрещена и попадает под действие статьи 146 УК РФ.
В данной статье автор делится опытом «закрытых контор» борьбы с внутренними нарушителями требований Политики информационной безопасности (ТПИБ).
Как известно, обеспечение ТПИБ должно осуществляться как техническими средствами защиты, так и организационными. Одна из важнейших задач отдела технических средств защиты информации создать условия максимального предотвращения возможности нарушений пользователями ТПИБ. Из инструкции пользователя давно уже должны быть исключены такие архаичные требования, как «пароль должен назначаться не менее … символов», «перед открытием файл должен проверяться антивирусом» и т.д. Пользователь не должен иметь технической возможности назначения пароля, несоответствующего ТПИБ. Антивирус должен быть настроен таким образом, чтобы не требовалось вмешательства пользователя. И так далее.
Однако не для всех ТПИБ возможно организовать технические средства защиты. Для регламентации таких вопросов существует очень полезный для всех организаций документ, как инструкция пользователя. Не буду приводить полный текст типовой инструкции, опущу преамбулу, что пользователь должен и за что отвечает. Перечислю сразу то, что пользователю КАТЕГОРИЧЕСКИ ЗАПРЕЩЕНО:
Это, конечно, хорошо, если есть Политика информационной безопасности, есть инструкция пользователей, подписанная всеми пользователями, но если не разработан план проведения регулярных мероприятий по выявлению нарушителей, грош цена такой политике.
Предлагаю вашему вниманию несколько игр, направленных на выявление нарушителей. Почему именно игр? Нельзя забывать, что сотрудники департамента информационной безопасности тоже люди. И как все люди, хотят больше зарабатывать и меньше работать. Игровая форма мероприятий позволит заинтересовать безопасников, придаст особого шарма и заставит с большей ответственностью и любовью относиться к своим обязанностям.
Ведущий и несколько игроков (количество определяется потребностями) слаженным порядком проникают в проверяемый офис. Ведущий размещается по середине помещения, игроки занимают ключевые позиции (двери, окна). Ведущий громогласно объявляет: «Внимание, плановая проверка режима. Всем освободить рабочие места и выйти на середину комнаты. Руки на пояс, ноги по ширине плеч!» Игроки начинают производить поиск записанных паролей. Рекомендуется проверять на (под) мониторами, под клавиатурой, под сидением, под столешницей, на стенках, в тумбочках и т.д. В некоторых случаях можно вежливо попросить пользователей предъявить на просмотр личные вещи (понятно, сугубо добровольно, но лучше не отказываться). Ведущий тем временем руководит процессом разминки пользователей. Под ритмичную музыку, на раз, два, три, четыре, пользователи совершают различные наклоны, повороты и вращательные движения. Рекомендуется не затягивать проверку, обычно достаточно 5-15 минут. У вас, возможно возникнет вопрос, а для чего проводить такие обыски именно во время рабочего дня? Разве нельзя проделать тоже самое, но без пользователей? Ан нет! В данном случае присутствует еще немаловажный воспитательный аспект и эффект психологического воздействия на пользователей. Данная игра позволит выявить нарушителей 11, а в определенных случаях 3, 4, 5, 7, 8, 9 требований.
Играют парами. Ведущий ведет ведомого с завязанными глазами по коридорам. Обнаружив праздно шатающегося, ведущий спрашивает у ведомого: «он или она?». Если ведомый угадывает, то ведущий просит пользователя предъявить свой уникальный идентификатор. В случае его отсутствия, нарушитель записывается в журнал. При его наличии ведущий меняется с ведомым ролями. Эта игра позволит выявить нарушителей требования №9.
Эту игру можно совмещать с игрой в жмурки. Пока одна пара играющих отвлекает пользователя, другая пара, начинает обыск рабочего места пользователя. Отличие от игры в разминку в данном случае, в том, что больше шансов обнаружить нарушение требований 1, 2, 3, 4, 5, 7, 8, 9. Особый интерес данная игра вызывает при соблюдения правила, по которому игроки должны уложиться до прихода пользователя.
В случае обнаружения в играх 1 и 3 пароля, персонального идентификатора или незалоченного экрана, можно сыграть в очень занимательную игру «напиши другу». В качестве друга может выступать руководитель пользователя, руководитель отдела кадров или руководитель службы безопасности. От фантазии игрока зависит насколько интересной будет эта игра. Можно проводить целые соревнования по остроумности и находчивости. Понятно, что письмо с просьбой депремирования в связи с невыполнением ТПИБ наиболее безобидный и неоригинальный вариант.
Как обнаружить стремление пользователя совать свой нос куда не следует? Как обнаружить на начальных этапах потенциальных нарушителей требований №10? Способов реализации ловушки для «любопытного» пользователя может быть много. Предлагаю для рассмотрения самый простой, не требующий высокой квалификации игрока. Создается специальный сетевой ресурс (например, расшаренная папка), с названием «TopSecret». К ресурсу дается описание (например в файле !dirinfo), где сообщается о том, что информация в папке является секретной. И кладется какой-нибудь файл, с включенным аудитом. Потом смотришь логи и радуешься.
Игра парами. Один прикидывается лохом и начинает крутиться около контролируемого пользователя (смотрит розетки, копается с соседним компьютером и т.д.). Второй звонит пользователю по телефону и пытается его разговорить на конфиденциальные темы. Если по фразам пользователя наша подсадная утка сможет реконструировать смысл информации – значит, игра прошла успешно. Данной игрой проверяется выполнение требования №6.
Несколько игроков случайным образом выбирают пользователей, к экранам которых подключаются средством удаленного администрирования. Побеждает тот, кто раньше других обнаруживает нарушение требований №№ 1, 2. Играя в эту игру, можно делать ставки, что еще сильнее повышает интерес к игре.
Понятное дело, что в каждой организации есть свои особенности. Кому-то не все игры могут подойти. Главное, чтобы подход к обеспечению ТПИБ был оригинальным, и тогда вы и сами сможете придумывать свои игры. Не забудьте поделиться своими идеями.
Ну хорошо, выявили мы нарушителей, а что дальше?
Определение ответственности за нарушение ТПИБ - несомненно, один из важнейших разделов самой политики. Если не будет предусмотрено действенных наказаний за нарушение политики, то сама политика будет неработоспособна. Это аксиома. Давайте рассмотрим, какие существуют традиционные методы воздействия на нарушителей? На основании Статьи 139 Гражданского кодекса, за нарушение требований политики безопасности руководство вправе применить к сотруднику следующие дисциплинарные взыскания:
Кроме гражданской и административной ответственности, за нарушение требований политики безопасности может последовать уголовная ответственность по статьям 183, 272, 273, 274, 283, 284, 293 УК РФ.
Наиболее эффективная тактика обеспечения соблюдений ТПИБ – использование кнута и пряника. Причем наиболее оптимальная пропорция – 3:1 в пользу пряника. Т.е., например, обнаружили пользователя в коридоре с персональным идентификатором – выпишите премию в 5 баксов. За год этот пользователь ни разу не попался без идентификатора – дополнительно 10% к годовой премии. Другой пользователь попался без идентификатора – ему ничего не сделали, другой раз – ничего не сделали, на третий раз попался – урезать кварталку.
Если ты, мой дорогой читатель, работаешь в компании, в которой есть возможность нормально поощрять своих сотрудников за соблюдение ТПИБ, а также если ты очень болезненно относишься к разным общечеловеческим и гуманным ценностям, то лучше тебе остановиться в чтении на этом абзаце.
Потому что я продолжу давать советы тем, кто не имеет средств для поощрений, но зато имеет расширенные возможности для наказаний (в предвкушении злорадно потираю руки).
Итак, классифицируем пользователей-нарушителей на две категории:
В зависимости от того, к какой категории будет причислен нарушитель, к нему будут применяться различные методы наказания.
Сразу оговорюсь, что в данной статье я не рассматриваю действия профессиональных диверсантов, шпионов и предателей, к которым можно применять методы воздействия не заботясь о целостности их телесных оболочек. Речь идет именно о пользователях, к которым небесполезно применять наказания и есть шанс их исправления. Кроме того, нужно иметь ввиду, что в условиях демократизации общества, гласности и правопорядка недопустимо, чтобы на пользователях оставались какие-либо следы воспитательного воздействия со стороны службы безопасности.
Известно, что угроза наказания и чувство неизбежности наказания являются порой более эффективными мерами воздействия, чем само наказание. Поэтому к пользователю, изредка допускающему незначительные ошибки, не следует применять строгие виды наказания. Я бы рекомендовал провести с таким пользователем «дополнительный инструктаж». Чтобы такой инструктаж стал наиболее эффективным, необходимо создать необходимый антураж. Лучше всего инструктаж проводить в серверной комнате при температуре в 16 градусов Цельсия и при аварийном освещении. Стул должен быть крайне неудобным и максимально низким. Проводить инструктаж лучше всего вчетвером. Фронтально размещается специалист с самым магнетическим и холодным взглядом. В ходе инструктажа он должен молчать и всем своим видом демонстрировать укор. Позади располагается специалист с самым магнетическим голосом. Именно ему предстоит проговорить основной массив текста. Текст должен быть достаточно длинным и однообразным, но резюме должно быть четким и понятным, оно должно особенным образом подчеркиваться голосом. Справа размещается специалист с самым басовитым голосом, а слева – с самым тонким. Им предстоит в ключевых моментах проникновенно с придыханием и растянуто произносить «Да….». В таком инструктаже не должно быть мелочей, все должно быть досконально продуманно и отрепетировано. Помните, что от качества ваших действий зависит станет ли пользователь «бараном» или нет! С гордостью могу отметить, что за последние 4 года мне не приходилось наказывать «баранов», т.к. качественно была проведена воспитательная работа. Сунь Цзы сказал: "одержать сто побед в ста сражениях - это не вершина превосходства. Подчинить армию врага не сражаясь - вот подлинная вершина превосходства".
Ну что говорить, если в компании есть «бараны», значит вы где-то недорабатываете. Возможно, вам не хватает харизмы или воли, а возможно вы лишний человек в структуре информационной безопасности. Но, тем не менее, проблема есть и ее надо решать. С «баранами» сильно не церемонятся. Если они не уволились на этапах инструктажа, значит они очень сильно заинтересованы в этой работе. «Бараны» обычно гнилые люди, поэтому перед наказанием нужно тщательно проверить наличие различных следящих, подслушивающих и передающих средств и подавить их. К сожалению, я не могу в данной статье привести ряд ноу-хау средневековой инквизиции и тайной канцелярии, но поделится одним методом, который я перенял от армейцев во время второй чеченской компании, могу. Используется обыкновенный полевой телефон. Знаете, такой с ручкой, которую крутишь и кричишь: «Барышня! Смольный!»? Чем сильнее крутишь ручку, тем громче на том конце звенит. Так вот, если от этого телефона подвести к наказуемому проводки, то он начинает получать неописуемые удовольствия, которые зависят от скорости и резкости вращения ручки. На первый раз, «барану» достаточно слегка приложить проводки и слегка покрутить ручку. Если он опять не поймет, можно тоже самое совершать на наиболее чувствительных участках тела и с большей интенсивностью. Если у вас нет такого телефона, то его достаточно просто сделать самому, не мне вас учить. Главное, чтобы с виду этот прибор не выглядел слишком подозрительно.
Применяя наказания, нужно иметь ввиду, что разные люди по разному переносят боль, например, азиаты менее чувствительны к боли, а у некоторых может быть слабое сердце. Поэтому нужно аккуратно относиться к своим обязанностям и помнить: это вы для пользователей, а не пользователи для вас. Вы должны служить им надежными защитниками-волкодавами, и если вам для их защиты необходимо их иногда покусывать, не привыкайте ко вкусу крови и держите себя в руках!
Автор приносит свои извинения всем, кого нечаянно обидел данной статьей, а также надеется, что, несмотря на праздничный характер статьи, умеющие читать, да нашли себе полезные моменты.