Анализ методологий принятия управленческого решения на создание комплексной системы безопасности

Такие действия могут подпадать под запрет согласно действующему законодательству, санкции могут быть наложены как на самого специалиста, допустившего утечку персональных данных, так и на саму организацию — оператора персональных данных. В компаниях с небольшими коллективами вероятность нарушений подобного рода является невысокой, в силу того, что небольшие фирмы правило не имеют больших оборотов, в силу чего конкурирующим фирмам неэффективно применять такие меры, как вербовка сотрудников-инсайдеров. С ростом штатной численности вероятность появления нарушений подобного рода растет, так как в информационных системах таких компаний содержится большие объемы персональных данных и коммерчески значимой информации, снижается контроль за действием каждого из сотрудников, при этом информационная система компаний представляет больший интерес для конкурентов. Таким образом, задача контроля целевого использования техники, предназначенной для распечатки информации становится все более актуальной задачей. Согласно ГОСТ Р ИСО/МЭК ТО 18 044−2007 «Менеджмент инцидентов информационной безопасности», при использовании системы менеджмента инцидентов ИБ необходимо осуществить следующие процессы:

обнаружение и оповещение о возникновении событий ИБ (человеком или автоматическими средствами);

— сбор информации, связанной с событиями ИБ, и оценка этой информации с целью определения, какие события можно отнести к категории инцидентов ИБ;

— реагирование на инциденты ИБ: — немедленно, в реальном или почти реальном масштабе времени;

— если инциденты ИБ находятся под контролем, выполнить менее срочные действия (например, способствующие полному восстановлению после катастрофы);

— если инциденты ИБ не находятся под контролем, то выполнить «антикризисные» действия (например, вызвать пожарную команду/подразделение или инициировать выполнение плана непрерывности бизнеса);

— сообщить о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей организации, а также персоналу сторонних организаций (что может включить в себя, по мере необходимости, распространение подробностей инцидента с целью дальнейшей оценки и (или) принятия решений);

— правовую экспертизу;

— надлежащую регистрацию всех действий и решений для последующего анализа;

— разрешение проблемы инцидентов. Обнаружение факта несанкционированной распечатки конфиденциальной информации возможно следующими способами:

показания специалистов по факту обнаружения несанкционированной распечатки конфиденциальной информации;

— протоколирование распечатки информации с использованием технических средств;

— использование средств видеонаблюдения в помещениях, где может производиться распечатка конфиденциальной информации. Первый способ не может гарантировать достоверного факта обнаружения инцидента, связанного с несанкционированной распечаткой конфиденциальной информации в силу специфики трудовых коллективов в РФ, но тем не менее при объяснении сотрудникам компании необходимости соблюдения условий конфиденциальности информации, введение систем стимулирования может приносить свои плоды. Другим направлением защиты информации от несанкционированной распечатки является соответствующая настройка программных комплексов:

ограничение времени входа в систему;

— ведение протоколов работы пользователей в системе и протоколов распечатанной информации на уровне прикладного программного обеспечения, в которые бы производилась запись информации о сформированных и распечатанных отчетах. Указанная настройка программного имеется, например, в версиях ПО «1С:Битрикс». Администратор системы путем анализа протоколов действий пользователя может установить время и вид распечатанной информации и провести расследование по подозрительным инцидентам. Но указанная настройка существует далеко не во всех программных продуктах. Кроме того, распечатываться может информация, например, из офисных приложений, где протоколирование не ведется. Другим способом протоколирования несанкционированной распечатки данных является изучение истории печати, формируемой операционной системой. Пример формирования протокола распечатки информации с использованием средств операционной системы показан на рисунке 1. Настройка, необходимая для ведения протокола печати в журнале операционной системы приведена на рисунке 2. На рисунке 3 приведен пример протокола печати, сформированного операционной системой. Рисунок 1 — Формирование протокола распечатки информации.

Рисунок 2 — Настройка для включения журнала печати.

Рисунок 3 — Журнал печати.

Рисунок 4 — Протокол печати информации.

Таким образом, протокол печати, сформированный в журнале операционной системы, предоставляет информацию:

о дате и времени печати;

— об имени файла, отправленного на печать;

— о пользователе, производящем печать документа. При использовании данного способа обнаружения факта несанкционированной печати можно установить факт печати, но невозможно установить степень конфиденциальности распечатанной информации. Для доказательства факта несанкционированной распечатки информации служит специальное программное обеспечение, позволяющее проводить теневое копирование рабочего стола пользователя. Если администратор имеет информацию с рабочего стола пользователя и соответствующий этому времени факт использования принтера, то факт распечатки конфиденциальной информации будет считаться доказанным. Примеры программного обеспечения для возможности записи скриншотов с рабочего стола пользователей: — ACA Capture Pro;

— Bandicam; - BB FlashBack ProBroadcaster’s StudioPROBSR Screen Recorder — CamStudioGamecam game recorder — Mirillis ActionCamtasia Studio — Snagit. Для обнаружения специалиста, производившего несанкционированную распечатку данных необходима установка системы видеонаблюдения, при которой камеры направлены в область печатающих устройств. При этом злоумышленники могут обойти указанные схемы протоколирования действий пользователя. Для повышения надежности системы системному администратору необходимо провести соответствующие настройки информационной системы. Возможные способы обхода системы протоколирования пользователей и меры противодействия им приведены в таблице 1. Таблица 1. Возможные меры противодействия системам защиты и способы борьбы с ними.

Вид противодействия системам защиты.

Способ борьбы.

Вход в систему под чужой учетной записью.

Использование электронных ключей, усложненная система аутентификации, обеспечение сохранности парольной информации.

Очистка системного журнала.

Понижение прав доступа пользователей на рабочих станциях, копирование системного журнала на сервер

Отключение протокола сканирования рабочей станции.

Понижение прав доступа пользователей на рабочих станциях, копирование системного журнала на сервер, использование специальных средств защиты, блокирующих подобные попытки.

Использование неучтенных принтеров.

Блокирование USB-портов, использование сетевых принтеров.

Помехи в работе видеокамеры.

Использование дублирующих видеокамер, использование системы сигнализации — защиты системы видеонаблюдения3.

2. Описание управленческого решения.

Согласно ГОСТ Р ИСО/МЭК ТО 18 044−2007 «Менеджмент инцидентов информационной безопасности», в качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:

события ИБ должны быть обнаружены и эффективно обработаны, в частности, определены как относящиеся или не относящиеся к инцидентам ИБ;

— идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;

— воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов плана (ов) обеспечения непрерывности бизнеса;

— из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей системы менеджмента инцидентов ИБ. По факту обнаружения инцидента необходимо принятие коллегиального решения по определению степени ущерба, нанесенного фактом несанкционированной распечатки конфиденциальной информации. Для принятия данного решения необходимо наличие утвержденной приказом комиссии по вопросам обеспечения информационной безопасности. Примерный состав комиссии по обеспечению информационной безопасности:

Руководитель организации;

— Начальники профильных отделов;

— Представитель юридического подразделения;

— Представитель ИТ-подразделения;

— Специалист по информационной безопасности (при наличии);

— Представитель экономического блока. Примерный перечень полномочий специалистов комиссии приведен в таблице 3. Таблица 3. Примерный состав комиссии по обеспечению информационной безопасности.

Должность специалиста.

Перечень полномочий.

Руководитель предприятия.

Утверждает решение комиссии, принимает управленческое решение в рамках инцидента.

Начальники профильных отделов.

Анализируют характер несанкционированно распечатанной информации, оценивают степень возможных последствий.

Представитель юридического подразделения.

Определяет правовую основу инцидента, определяет возможные санкции согласно законодательству.

Представитель ИТ-подразделения.

Формирует протоколы действий пользователя по распечатке информации, проводит анализ функционирования инфраструктуры автоматизированной системы.

Специалист по информационной безопасности.

Определяет тип нарушения согласно локальным нормативным документам.

Представитель экономического блока.

Оценивает степень материального ущерба от инцидента.

Диаграммы бизнес-процессов работы по расследованию инцидентов, связанных с несанкционированной распечаткой данных приведены ниже. Рисунок 5 — Контекстная диаграмма.

Рисунок 6 — Диаграмма декомпозиции нулевого уровня.

Рисунок 7 — Диаграмма декомпозиции первого уровня.

Таким образом, методика расследования фактов несанкционированной распечатки конфиденциальной информации включает в себя перечень мероприятий, указанный в таблице 2. Таблица 2. Перечень мероприятий по расследованию фактов несанкционированной распечатки информации№ п/пНаименование мероприятия.

Механизм1Обнаружение факта несанкционированной печати информации.

Изучение протоколов печати данных с использованием средств операционной системы (системный журнал), протоколов работы в программном обеспечении, показаний специалистов2Обнаружение характера распечатанной информации.

Изучение скриншотов, соответствующих времени печати информации с использованием соответствующего ПО3Обнаружение специалиста, производившего печать информации Изучение протоколов записи видеокамер, соответствующих времени исследуемого инцидента4Оценка типа нарушителя.

Заседание комиссии по обеспечению информационной безопасности5Наложение взыскания.

Наложение взыскания на специалиста, допустившего нарушение требований конфиденциальности при печати документов6Разработка предложений по предотвращению нарушений.

Специалистами компании производится анализ инцидента и вырабатываются предложения по совершенствованию системы защиты от несанкционированной распечатки информации.

Таким образом, разработанная методика противодействия несанкционированной распечатке информации позволит повысить общую защищенность информационной системы предприятий.

Заключение

.

В рамках данной работы проведен анализ методологических аспектов принятия управленческих решений в области информационной безопасности. Были рассмотрены следующие вопросы:

изучение теоретических с аспектов методологии защиты информации;

— применение теории систем к задачам защиты информации;

— разработка управленческих решений на примере проблемы обеспечения защиты от несанкционированной распечатки конфиденциальной информации.

Список использованных источников

.

ГОСТ Р ИСО/МЭК ТО 18 044−2007. «Менеджмент инцидентов информационной безопасности"Бабаш, А. В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А. В. Бабаш, Е. К. Баранова, Ю. Н. Мельников. — М.: Кно.

Рус, 2013. — 136 c. Баймакова, И. А. Обеспечение защиты персональных данных- М.: Изд-во 1С-Паблишинг, 2010. — 216 с. Гафнер, В. В. Информационная безопасность: Учебное пособие / В. В. Гафнер. — Рн/Д: Феникс, 2010.

— 324 c. Гашков С. Б., Применко Э. А., Черепнев М. А. Криптографические методы защиты информации. — М.: Академия, 2010.

— 304 с. Герасименко В. А., Малюк А. А. Основы защиты информации. — М.: МИФИ, 1997.

Грибунин В.Г., Чудовский В. В. Комплексная система защиты информации на предприятии. — М.: Академия, 2009. — 416 с. Гришина Н. В. Комплексная система защиты информации на предприятии. — М.: Форум, 2010. — 240 с.