Разработка деловой игры для подготовки бакалавров по направлению «Информационная безопасность» на основе DLP-системы

Ход деловой игры.

1. Организационный момент, до начала урока.- расстановка столов по принципу «за круглым столом», в соответствии с количеством команд.- оформление аудитории в начале деловой игры.- проверка присутствующих и готовность группы к деловой игре.

2. Сообщение темы, целей и задач деловой игры. Вначале занятия преподаватель формулирует цель деловой игры, знакомит студентов с порядком проведения игры, определяет задачи участников игры в процессе исполнения ролей, определяет состав команд и их лидеров. Целью деловой игры является принятие решения в области обеспечения информационной безопасности. Основными задачами обучения в ходе деловой игры являются: — анализ технологий обеспечения защиты информации от утечек по различным каналам;

—  анализ технологий использования рабочего времени сотрудниками;

—  анализ технологий по борьбе с внешними угрозами. В процессе проведения деловой игры возникает необходимость анализа, выработки и принятия решений в области использования DLP-системы SearchInform.

2. Организация проведения деловой игры. Деловая игра предназначена для групповых занятий. В процессе деловой игры ее участники проводят моделирование тех или иных действий в области тестирования системы защиты информации. Игровая модель. Для проведения деловой игры необходимо определить количество и состав команд. Каждая команда играет отведенные ей роли. Список команд:

сотрудники отделов. Цель — протестировать режимы, подвергающие систему опасностям утечек;

— руководство. Цель — анализ нагрузки на специалистов, выработка управленческих решений на основании мнений специалистов отделов и специалистов по информационной безопасности;

— специалисты по информационной безопасности. Цель: обеспечение максимального уровня защищенности системы. Возможные модели действий команд:

1. Команда специалистов отделов. Цель: максимальное обеспечение свободы действий в информационной системе: запуск мессенджеров, систем электронной почты, социальных сетей, отключение систем защиты, замедляющих работу системы, игнорирование требований к защищенности паролей. При этом цель данной команды: выполнение возложенных обязанностей в соответствии с технологиями работы и должностными инструкциями, обеспечение высоких производственных показателей во что бы то ни стало.

2. Команда руководства. Цель: получение прибыли предприятия, создание оптимальной организационной структуры, обеспечение бесперебойности технологического процесса, а также оптимальной нагрузки на сотрудников.

3. Команда специалистов в области информационной безопасности: обеспечить максимальный уровень защищенности информационной системы от утечек с использованием системы SearchInform. Модели поведения команд:

1. Для команды специалистов отделов — обеспечение максимального количества выполняемых функций при этом возможно пренебрежение какими-либо требованиями защиты информации. Взаимодействие с руководством: показать в отчетах оптимальные цифры, связанные с производственной деятельностью (например, объем продаж, количество привлеченных клиентов, объем сформированной отчетности и др.)2. Для команды руководства — анализ предоставленной отчетности от специалистов отделов, принятие управленческих решений в области обеспечения политики информационной безопасности, установки тех или иных программных продуктов.

3. Для команды специалистов по информационной безопасности — формирование статистики инцидентов информационной безопасности, анализ сетевого трафика от рабочих станций специалистов с формированием анализа причин поведения системы. Таким образом, команда руководства моделирует ситуации, связанные с обеспечением требований информационной безопасности. Команда специалистов по ИБ ищет решение ситуации с помощью DLP-системы, команда специалистов отделов пытается опровергнуть доводы специалистов по ИБ и склонить руководство к принятию управленческих решений в свою пользу. От того, насколько профессионально специалисты по ИБ приведут аргументацию, зависит их оценка. Схема взаимодействия команд приведена на рисунке 1. Рисунок — Схема взаимодействия подразделений.

Оптимальным состоянием системы является рост производственных показателей при отсутствии инцидентов информационной безопасности. Конфликтное состояние системы:

остановка работы организации вследствие инцидентов информационной безопасности;

— несанкционированная активность сотрудников (наличие сетевого трафика, детектированного системой SearchInform), либо отсутствие активности сотрудников, находящихся на рабочем месте;

— рост производственных показателей при обнаруженных нарушениях системы информационной безопасности посредством использования DLP-системы SearchInform создает конфликт интересов обеспечения информационной безопасности и необходимостью обеспечения производственных показателей. в зависимости от предоставленных сторонами аргументов руководство принимает управленческие решения. Таким образом, правильно определенная стратегия со стороны команды специалистов по информационной безопасности предполагает возможность донесения своей позиции до руководства с последующим принятием верных управленческих решений. Таким образом, суть деловой игры сводится к разрешению противоречий между экономической целесообразностью и упрощением технологии работы со стороны специалистов профильного отдела и необходимостью обеспечения требований по защите информации от утечек. Модель игры 1. Иванов И. И., специалист отдела, отключает трафик антивирусной системы, объясняя это снижением производительности работы компьютера и необходимостью работы со срочной сделкой, просрочка по которой грозит срывом выгодного контракта. Петров П. П., сотрудник отдела информационной безопасности посредством модуля SIEMSearchInform обнаруживает отсутствие трафика антивирусного ПО, обозначив это как инцидент информационной безопасности, принудительно включает антивирусную систему и докладывает о произошедшем руководителю. Руководитель организации Владимиров В. В. должен принять управленческое решение, связанное с анализом сложившейся ситуации. Возможное управленческое решение: 1. Обязать специалистов ИТ-отдела модернизировать рабочую станцию специалиста Иванова И. И. 2. Специалисту Иванову И. И. вынести предупреждение о недопустимости нарушения требований утвержденного «Положения об антивирусной защите» .Модель игры 2. Специалист отдела Лапина В. А. находится в отпуске, но при анализе трафика посредством TIMEINFORMERSearchInform обнаружена активность учетной записи данного специалиста. Трафик связан с работой прикладных программных комплексов, а также с системами, использующими криптографические модули. Петров П. П., сотрудник отдела информационной безопасности, выносит на комиссию рассмотрение вопросов:

признать пароли сотрудника Лапиной В. А. скомпрометированными;

— признать ключи электронной подписи, используемые сотрудником Лапинй В. А. скомпрометированными. Руководитель организации Владимиров В. В. должен принять управленческое решение, связанное с анализом сложившейся ситуации. Возможное управленческое решение: 1. Провести расследование компрометации паролей и ключей электронной подписи сотрудника Лапиной В.А.

2. Вынести сотруднику Лапиной В. А. дисциплинарное взыскание за нарушение положений по обеспечению защиты информации.

3. Сотрудникам отдела информационной безопасности провести аудит системы информационной безопасности в профильном отделе. Модель игры 3. Руководитель организации Владимиров В. В. проводит совещание, на котором озвучивает статистику снижения эффективности работы организации. Специалист отдела информационной безопасности Петров П. П. предлагает провести анализ трафика с рабочих станций пользователя, сформированный с использованием DLP-системы SearchInform (рисунок 2).Рисунок — Отчет по присутствию сотрудников на рабочем месте, сформированный с помощью DLP-системы SearchInformТакже руководству для анализа предлагается анализ трафика по типам приложений, сформированный в системе DLP-системы SearchInform (рисунок 3).С использованием аналитического отчета по типу использования сетевого трафика можно определить, какой процент времени специалисты могут быть заняты работой, не относящейся к их профилю с дальнейшим принятием управленческих решений. Задачей команды сотрудников отделов в данном случае является выбор обоснований работы с непрофильными сетевыми ресурсами. Рисунок — Анализ трафика по типам приложений.

Модель игры 4. Руководитель организации Владимиров В. В. и заместитель директора по работе с персоналом Демина В. С. приняли решение о проведении персонального контроля надо работой сотрудника отдела Авериной С. М. Специалист по информационной безопасности Петров П. П. осуществляет подбор решения, позволяющего проводить мониторинг деятельности Авериной С. М. с помощью DLP-системы SearchInform. Для решения данной задачи предлагается использование модуля, контролирующего рабочий стол специалиста, периодического копирования скриншотов (рисунки 4−5).Рисунок — Модуль контроля рабочего стола.

Рисунок — Модуль хранения скриншотов.

Далее на основании анализа сохраненных скриншотов проводится собеседование со специалистом, чья рабочая станция контролировалась и принимается управленческое решение. Модель игры 5. Заместитель директора по продажам докладывает на совещании об оттоке клиентов и поставщиков к конкурирующей фирме. Руководитель компании Владимиров В. В. дает поручение специалистам по информационной безопасности провести анализ корреспонденции ряда задействованных специалистов. Специалист по информационной безопасности Петров П. П. предлагает решение с помощью DLP-системыSearchInform провести анализ принимаемых и отправляемых сообщений с использованием модуля MailController. Способы поиска сообщений, подозрительных на содержание нежелательного контента:

поиск по ключевым словам;

— анализ адресатов отправляемой корреспонденции в разрезе отправителей, по результатам которого выявляются каналы утечки;

— поиск вложений по маске (например, по форматам файлов, соответствующих базам данных).

2.4. Внедрение деловой игры по DLP SearchInform в образовательный процесс по специальности «ИБ» Разработанная деловая игра может быть внедрена для студентов при изучении DLP-систем.Критерии оценивания работы студентов в деловой игре.

1. Для руководителя: умение сформулировать ситуацию, требующую использования DLP-системы, далее оценивается принятие управленческого решения в рамках сложившейся в игре ситуации. Оценивается количество и качество принимаемых решений и моделируемых ситуаций. При этом обязательное условие: разрешение ситуации, смоделированной руководителем, должно быть возможно с помощью DLP-системы. Вместе с тем, для усиления игрового момента, возможно включение ситуаций, не связанных с использованием DLP (при этом предварительно об этом предупреждается судья).

2. Для участника команды специалиста по информационной безопасности. Необходим подбор решения поставленной ситуации с использованием того или иного сервиса DLP-системы, умение сформулировать решение, связанное с возможностью устранения проблемы, сформулированной руководителем. Критерий оценки студента: определение правильного компонента DLP-системы, либо обоснование невозможности применения данного модуля.

3. Для участников команды сотрудников отделов необходимы навыки обоснования своей позиции. Аргументы сотрудников отделов при невозможности их опровержения специалистами по информационной безопасности могут влиять на оценку оппонирующей команды. В рамках закрепления знаний была проведена разработка теста, пример которого приведён в Приложении.

3. Оценка результатов внедрения разработанной деловой игры.

В рамках проведения деловой игры были получен ряд результатов, на основании которых можно сделать вывод об эффективности обучения персонала работе с DLP-системой «SearchInform». Далее приведем анализ результатов деловой игры. Анализируемая ситуация: обнаружение вторжений в локальную сеть предприятия, обнаружение активности шпионского ПО, отказы в работе системы антивирусной защиты, что потенциально может привести к остановке работы информационной системы предприятия. Предложения команды специалистов по информационной безопасности:

переключение DLP-системы «SearchInform» в режим полного анализа использования электронной почты, использования ресурсов Интернета, а также сетевой активности пользователей. В силу того, что проведение полного контроля приводит к заметному падению производительности сетевых приложений, необходимо принятие соответствующего управленческого решения с информированием руководства профильных отделов. Контраргументы руководителей профильных отделов: обнаруженные вторжения не привели к утечкам информации, потерям данных. Замедление работы систем приведет к временным задержкам в работе специалистов, сокращению скорости обслуживания клиентов, и, как итог, прямым убыткам компании. Аргументация руководителей: необходимо соблюдение баланса между потерями в производительности информационной системы и необходимостью соблюдения требований по защите информации. Предложение сотрудников команды информационной безопасности:

проведение проверки почтовых ящиков пользователей и анализа протоколов сетевой активности рабочих станций с целью выявления рабочих мест и специалистов, подозрительных на наличие вредоносной активности. Выбранные сетевые узлы (без информирования специалистов, на рабочих станциях которых выявлена подозрительная активность) анализируются через копирование скриншотов, полное протоколирование действий, копирование почтовых ящиков с дальнейшим проведением подробного анализа действий. Предложения руководителей профильных отделов: на основании анализа протоколов работы рабочих станций и сетевых узлов сделать выводы о наличии преднамеренности, либо халатности в действиях пользователей с дальнейшими оргвыводами. Предложение руководства: издание приказа с грифом ДСП о проведении выборочной проверки состояния защищенности информационной системычерез протоколирование действий пользователей. Правильными ответами в рамках деловой игры считаются те, которые минимально нарушая работу специалистов, позволяют провести анализ причин утечек данных. К ошибочным ответам следует отнести:

остановку работы организации с целью проведения открытой тотальной проверки всех информационных систем;

— игнорирование требований специалистов по защите информации;

— изменение рабочего графика сотрудников;

— полное игнорирование требований профильных отделов;

— внедрение сторонних DLP-решений, не прошедших тестирование в условиях предприятия, для мониторинга системы;

— издание документа с целью ознакомления специалистов под роспись без принятия других мер. Таким образом, итогом деловой игры стало принятие компромиссного решения в области обеспечения защиты информационной системы от утечек данных. Участники деловой игры показали свою компетентность в рамках предметной области, а также организационной культуры, умение находить компромиссные решения, вместе с тем находить оптимальные механизмы задействования тех или иных функций DLP-системы. Навыки работы с организационной культурой, умение доносить свою позицию, зачастую противоречащую интересам других подразделений также является одной из обязательных профессиональных компетенций специалистов по информационной безопасности, так как навыков в области технического обеспечения защиты информации для них недостаточно. Также специалисты по защите информации должны понимать специфику деятельности предприятий и в рамках своей деятельности должны учитывать необходимость штатного функционирования профильных подразделений предприятия. На рисунке 11 приведена диаграмма правильных и неправильных решений в разрезе команд. Рисунок — Диаграмма результатов деловой игры.

Как показано на рисунке 11, в рамках исследуемой группы большая часть студентов в рамках проведения игры дали правильные ответы, что говорит о качестве подготовки специалистов.

Заключение

.

В рамках данной работы проведено рассмотрение теоретических аспектов обеспечения безопасности информационных ресурсов, показано что защита сетевых ресурсов имеет свои особенности, связанные с необходимостью учета сетевых протоколов, программного и аппаратного обеспечения локальных сетей, а также физической защиты портов и сетевого оборудования. Одной из важных компонент по обеспечению защищенности информационных систем являются системы DLP. В рамках анализа предметной области был проведен обзор обучающих технологий подготовки специалистов по информационной безопасности, а также требований к вакансиям по указанному профилю. Показано, что знание функционала DLP-систем является одним из важных требований для соискателей вакансий по профилю «Информационная безопасность» .Анализ обучающих технологий показал, что в процессе обучения по указанной тематике наиболее эффективно использование современных интерактивных методов. В практической части работы проведен анализ функций DLP-системы «КИБ Серчинформ», проведена разработка деловой игры, освоение которой позволит повысить эффективность учебного процесса по указанному направлению.

Список использованных источников

1. Вакансия специалиста DLP. [Электронный ресурс]. Режим доступа:

https://spb.hh.ru/vacancy/25 450 061?utm_source=jooble&utm_medium=meta&utm_campaign=RU2. Уровень оплаты труда ИТ-специалистов. [Электронный ресурс]. Режим доступа:

http://fb.ru/article/275 385/zarplata-it-spetsialista-v-rossii3. Вакансия инженера в области внедрения DLP-систем. [Электронный ресурс]. Режим доступа:

https://novosibirsk.hh.ru/vacancy/25 590 500?utm_source=jooble&utm_medium=meta&utm_campaign=RU4. Профессиональный стандарт по специальности «Информационная безопасность». [Электронный ресурс]. Режим доступа:

http://fgosvo.ru/news/6/21 255. КИБ «Серчинформ». [Электронный ресурс]. Режим доступа:

https://searchinform.ru/products/kib/profilecenter/Андрианов В.В., Зефиров С. Л., Голованов В. Б., Голдуев Н. А. Обеспечение информационной безопасности бизнеса. — М.: Альпина.

Паблишерз, 2011. — 338с. Стефанюк В. Л. Обеспечение физической защиты сетевых ресурсов. — М.: Наука, 2014. — 574c. Якубайтис Э. А. Информационные сети и системы: Справочная книга.

М.: Финансы и статистика, 2011. — 232с. Разработка инфраструктуры сетевых служб Microsoft Windows Server 2008.

Учебный курс MCSE М.: Bзд-во Русская редакция, 2009.

Сосински Б. Дж. Московиц Дж. W indows 2008 Server за 24 часа. -.

М.: Издательский дом Вильямс, 2008. — 536с. Герасименко В. А., Малюк А. А. Основы защиты информации. — СПб.: Питер, 2010. -.

320с.Гук М. Аппаратные средства локальных сетей. Энциклопедия. — СПб.: Питер, 2010. — 576с. Иопа Н.

И. Информатика: (для технических специальностей): учебное пособие- Москва: Кно.

Рус, 2011. — 469 с. Осипов О. А., Медведев, Н. В. Информатика. Базовый курс: учебник — Москва: Омега-Л, 2010. — 557 с. Лапонина О. Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия Интернет-университет информационных технологий — ИНТУИТ.ру, 2012.

Могилев.

А.В. Информатика: Учебное пособие для вузов — М.: Изд. центр «Академия», 2011.

Партыка Т. Л. Операционные системы и оболочки. — М.: Форум, 2011.

Под ред. проф. Н. В. Макаровой: Информатика и ИКТ. — СПб.: Питер, 2011.

Новиков Ю. В., Кондратенко С. В. Основы локальных сетей. КуПК лекций. — СПб.:Интуит, 2012. — 360с. Ташков П. А. Защита компьютера на 100%. — СПб.: Питер, 2011.

Самоучитель MicrosoftWindows XP. Все об использовании и настройках. Изд. 2-е, перераб. и доп.

М. Д. Матвеев, М. В. Юдин, А. В. Куприянова.

Под ред. М. В. Финкова.- СПб.: Наука и Техника, 2011. — 624 с.Устинов.

К.П.Технологии защиты информации в компьютерных системах. — М.: Академия, 2014. — 536 с. Астайкин А. И. Информационная безопасность и защита информации. — Саров:

ФГУП" РФЯЦ-ВНИИЭФ", 2015. — 498 с. Крамаров С. О. Криптографическая защита информации: учеб. пособие. — М.: РИОР: ИНФРА-М, 2018. —.

321 с. Каратунова Н. Г. Защита информации. Курс лекций.

— Краснодар: КСЭИ, 2014. — 188 с.

Хорев П.Б. Программно-аппаратная защита информации: Учебное пособие / П. Б. Хорев. — 2-e изд., испр. и доп. — М.: Форум: НИЦ ИНФРА-М, 2015. — 352 с.Приложение.

Тестирование в рамках исследуемой предметной области1. DLP-системы — это: — системы защиты от утечек данных;

— системы контроля управления доступом;

— системы подготовки отчетности.

2. Какие из указанных функций выполняет система DLP SearchInform: — протоколирование действий пользователей;

— анализ сетевой активности;

— разработку программного обеспечения для работы с базами данных;

— автоматизация хранения скриншотов с экранов пользователей;

— работу с электронной подписью. 3. Какая из приведенных систем относится к классу DLP?- Крипто-ПроSearchInformMS OfficeLotus Notes4. Какая из функций не входит в возможности DLP SearchInform: — анализ протоколов работы пользователей;

— расчет сводных таблиц бухгалтерского учета;

— контроль учетных записей;

— протоколирование работы сетевых устройств.

5. Что из перечисленного относится к целям защиты информации:

обеспечение целостности;

— обеспечение аутентичности;

— обеспечение авторских прав.