Лучшие практики по борьбе с внутренними угрозами

Часто координационный центр CERT воспринимается многими специалистами, как организация, которая анализирует инциденты ИБ и публикует статистику в этой области. Отчасти это так. Но гораздо полезнее материалы, которые публикует CERT по совершенно иным вопросам. В частности недавно CERT опубликовал уже третью редакцию (версия 3.1) своего отчета «Common Sense Guide to Prevention and Detection of Insider Threats«.

88-тистраничный отчет отвечает на многие интересные вопросы:

  • что такое внутренняя угроза и кто такой инсайдер (в контексте ИБ)?
  • насколько реальна внутренняя угроза?
  • можно ли остановить инсайдеров?
  • типы внутренних угроз (оказывается, утечки — не самая распространенная внутренняя проблема 😉
  • каковы лучшие практики по борьбе с инсайдерами и внутренними угрозами?

В документе описаны 16 основных рекомендаций:

  1. Рассматривайте внутренние угрозы в контексте ИБ и управления рисками всей компании.
  2. Предусмотрите вопросы борьбы с внутренними угрозами в технических и организационных политиках ИБ.
  3. Проводите регулярно повышение осведомленности сотрудников.
  4. Мониторьте и реагируйте на подозрительное поведение, начиная с приема на работу.
  5. Предвосхищайте и управляйте негативными повседневными рабочими вопросами.
  6. Отслеживайте и защищайте оборудование.
  7. Внедряйте политики и практики управления паролями.
  8. Принцип разделения полномочий и минимума привилегий.
  9. Учитывайте внутренние угрозы при разработке ПО (SDLC).
  10. Обратите внимание на привилегированных пользователей.
  11. Контролируйте изменения в системе.
  12. Регистрируйте и мониторьте действия сотрудников.
  13. Эшелонированная оборона против удаленных атак.
  14. Деактивируйте учетную запись после увольнения сотрудника.
  15. Внедрите систему защищенного резервирования и восстановления данных.
  16. План реагирования на инциденты инсайдеров.

Нельзя сказать, что CERT придумал что-то новое, но они аккумулировали все разрозненные рекомендации в рамках единого подхода и опубликовали его.

ЗЫ. А вообще CERT ведет обширные исследование по части внутренних угроз и публикует их результаты на своем сайте.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    Вещь. Спасибо.

    Ответить
  2. Анонимный

    Новаторство, действительно, содержится только в способе изложения и собственной классификации внутренних угроз, причем кому-то она может показаться удобной, а кому-то нет. Но изложено красиво, не спорю:)
    Осталось дождаться столь же красивого развития темы «Сan insiders be stopped?», например в виде практческого исследования эффективности мер противодействия в различных компаниях. Причем интереснее нетехническая часть комплекса, например, мотивация. «Сколько» мотивировать? Ведь убывание предельной полезности вознаграждения (не только материального) и комфорта имеет место, так где остановиться? С этой точки зрения борьба с внутренними угрозами в значительной степени искусство управления, потому и интерсен опыт других. Например, относительный рост ИБ в компании на каждые 1000 рублей, доплаченных привилегированным пользователям:)

    Ответить
  3. Алексей Лукацкий

    А какой толк от такого исследования? Ведь все очень субъективно и зависит от множества параметров. Врядли можно найти общие зависимости в этом вопросе.

    Ответить
  4. Анонимный

    В том-то и дело! Как говорил один герой у Стругацких, неинтересно решать задачу, для которой решение и без того имеется;) А здесь речь именно о нахождении общих черт в вопросе, который казалось бы, не предполагает таковых. Грубо говоря, формируем полный набор различных инструментов, и смотрим, у кого какой комплект оказался наиболее эффективным на практике, а по полученным результатам предлагаем своеобразный baseline для борцов с внутренними угрозами.
    ЗЫ Вообще тема находжения зависимостей там, где их не предусмотрено, совсем не нова. Тот же Шнайер с его чувством безопасности, или аналогии (кстати, твои, по-моему, не помню точно) с животным миром.

    Ответить
  5. Алексей Лукацкий

    Да я не про то 😉 У тебя положительный эффект от принятых мер может быть не самих мер, а от каких иных факторов, которые ты не учел в исследовании. Культурные особенности, уровень зрелости, отношение женщин и мужчин, наличие у руководства военного прошлого и т.п.

    Я не исключаю, что скрытые зависимости есть. Не зря же теорию хаоса придумали. Но вот ее применение на практике, да еще и в ИБ, сопряжено с большими трудностями. По крайней мере пока…

    Ответить
  6. Анонимный

    Тамкто-то на банкире тему для диплома искал, вот надо предложить. Как знать, может вырастет свой Джон Нэш;)

    Ответить
  7. Алексей Лукацкий

    Тот, кто искал, не потянет 😉

    Ответить