Проектирование системы защиты от угроз, основанных на методах
социотехники
Осознав всю широту спектра существующих угроз, необходимо выполнить три
действия для создания системы защиты сотрудников от угроз, связанных с
использованием социотехники. Помните, что эффективность защиты во многом
определяется во время ее планирования. Часто защитные меры предпринимаются
только после обнаружения успешно проведенной атаки для предотвращения
аналогичных проблем в будущем. Этот подход показывает, что обеспечению
безопасности в компании уделяется некоторое внимание, но такое решение
проблемы может оказаться слишком запоздалым, если компании уже причинен
значительный ущерб. Чтобы не допустить этого, нужно выполнить три
следующих действия.
Разработка стратегии управления обеспечением безопасности
Стратегия управления обеспечением безопасности должна давать общее
представление о социотехнических угрозах, которым подвергается
организация, и определять сотрудников, отвечающих за разработку политик и
процедур, блокирующих эти угрозы. Это не означает, что на работу нужно
принять специалистов, в чьи обязанности будет входить только обеспечение
безопасности корпоративных активов. Такой подход возможен в крупных
компаниях, но в организациях среднего размера создавать такие должности в
большинстве случаев невыгодно. Главное, что нужно сделать — это
распределить между некоторыми сотрудниками следующие роли.
- Куратор по безопасности. Руководитель высшего звена
(предположительно — уровня совета директоров), следящий за тем,
чтобы все сотрудники относились к обеспечению безопасности серьезно,
и обладающий необходимым для этого авторитетом.
- Администратор по безопасности. Руководитель, отвечающий за
организацию разработки политики безопасности и ее обновление в
соответствии с изменениями требований.
- Менеджер по безопасности ИТ-систем. Технический
специалист, отвечающий за разработку политик и процедур обеспечения
безопасности ИТ-инфраструктуры и операций.
- Менеджер по безопасности на объекте. Член группы,
обслуживающей здание, который отвечает за разработку политик и
процедур обеспечения безопасности на объекте.
- Менеджер по информированию персонала о способах обеспечения
безопасности. Руководящий сотрудник (обычно из отдела кадров),
отвечающий за разработку и проведение кампаний по информированию
персонала об угрозах и способах защиты от
них.
Сотрудники, выполняющие эти роли, формируют руководящий комитет по
обеспечению безопасности (Security Steering Committee), который должен
определять главные цели стратегии управления обеспечением безопасности.
Если не определить эти цели, будет сложно привлекать к участию в проектах
по обеспечению безопасности других сотрудников и оценивать результаты
таких проектов. Первой задачей, которую должен выполнить руководящий
комитет по обеспечению безопасности, является обнаружение в корпоративной
среде уязвимостей, делающих возможными социотехнические атаки. Чтобы
быстро получить представление о возможных векторах этих атак, можно
воспользоваться простой таблицей наподобие приведенной ниже.
Таблица 9. Уязвимости корпоративной среды, допускающие проведение
атак, основанных на методах социотехники
Сетевые атаки |
|
|
Электронная почта |
На настольных компьютерах всех пользователей
установлена программа Microsoft Outlook®. |
|
Интернет |
Мобильные пользователи в дополнение к обычному
клиенту Outlook используют веб-клиент Outlook. |
|
Всплывающие приложения |
|
На текущий момент никакие технические средства
защиты от всплывающих приложений в компании не
используются. |
Служба мгновенного обмена сообщениями |
Принятые в компании методики работы допускают
неконтролируемое использование различных систем мгновенного обмена
сообщениями. |
|
Телефонные атаки |
|
|
Корпоративная телефонная станция |
|
|
Служба поддержки |
В настоящее время функции «службы поддержки»
бессистемно выполняет ИТ-отделение. |
Процессы оказания услуг поддержки нужно
интегрировать в другие структуры компании. |
Поиск информации в мусоре |
|
|
Внутренний мусор |
Каждое отделение избавляется от собственного
мусора самостоятельно. |
|
Внешний мусор |
Мусорные контейнеры располагаются вне территории
компании. Вывоз мусора осуществляется по четвергам. |
На территории компании нет места для мусорных
контейнеров. |
Персональные подходы |
|
|
Физическая безопасность |
|
|
Безопасность офисов |
Все офисы остаются незапертыми в течение всего
рабочего дня. |
25 процентов сотрудников работают
дома. Письменные стандарты обеспечения
безопасности систем сотрудников, работающих дома,
отсутствуют. |
Сотрудники, работающие дома |
Никаких протоколов, регламентирующих
обслуживание систем сотрудников, работающих дома, нет. |
|
Другие направления атак и уязвимости,
специфические для компании |
|
|
Подрядчики, работающие на объектах
компании |
Пункты питания на территории компании
организованы сторонней фирмой. |
Мы ничего не знаем о ее сотрудниках и не приняли
для них политику безопасности. |
Когда члены руководящего комитета по обеспечению безопасности
основательно разберутся в имеющихся уязвимостях, они могут составить
таблицу уязвимостей корпоративной среды, допускающих проведение атак,
основанных на методах социотехники (см. пример выше). В этой таблице
следует описать рабочие процессы компании в потенциально уязвимых
областях. Информация об уязвимостях позволяет членам руководящего комитета
разработать предварительные варианты требований, которые могут быть
включены в политику.
Сначала руководящий комитет должен определить области, которые могут
подвергнуть компанию риску. Выполняя эту задачу, нужно учесть все
направления атак, описанные в данном документе, и специфические для
компании элементы, такие как использование общедоступных терминалов или
процедуры управления офисной средой.
Оценка риска
При разработке мер по обеспечению безопасности всегда нужно оценить
уровень риска, которому подвергается компания при различных атаках. Для
тщательной оценки риска не обязательно требуется очень много времени.
Опираясь на информацию о главных элементах стратегии управления
обеспечением безопасности, определенных руководящим комитетом по
обеспечению безопасности, можно сгруппировать факторы риска в категории и
назначить им приоритеты. Ниже перечислены категории риска.
- Утечка конфиденциальной информации.
- Урон репутации компании.
- Снижение работоспособности компании.
- Трата ресурсов.
- Финансовые потери.
При определении приоритета фактора риска следует учесть стоимость его
устранения. Если она превышает возможный ущерб от соответствующей атаки,
возможно, с риском лучше смириться. Оценка риска может предоставить очень
полезную информацию на заключительных этапах разработки политики
безопасности.
Например, руководящий комитет по обеспечению безопасности может
обнаружить недостатки принятого в компании пропускного режима. Если
предполагается, что компанию будут посещать не более 20 человек в час,
будет достаточно нанять одного контролера, завести книгу учета посетителей
и пронумерованные идентификационные карточки. Если же компанию будут
посещать 150 человек в час, возможно, придется расширить штат контролеров
или установить терминалы для самостоятельной регистрации. В компаниях
малого размера установка таких терминалов едва ли окупится, но для крупных
компаний, которые в случае простоя из-за атак могут понести крупные
убытки, этот вариант может оказаться наиболее эффективным.
Рассмотрим другой пример. Для компании, не принимающей посетителей и не
нанимающей подрядчиков, может не быть практически никакой опасности в
выкладывании распечатанных документов в одном определенном месте, откуда
их будут забирать сотрудники. Между тем, для компании, часто пользующейся
услугами многих подрядчиков, этот вариант связан со слишком большим
риском, и ее руководители могут решить, что для предотвращения краж
конфиденциальных документов из принтеров необходимо установить принтер на
каждом рабочем столе. Компания может устранить этот риск, поставив
условие, чтобы каждого посетителя в течение всего визита сопровождал
штатный сотрудник. Это решение окажется гораздо менее дорогим, если,
конечно, не учитывать финансовые следствия неэффективного использования
рабочего времени сотрудников.
Используя таблицу уязвимостей корпоративной среды, допускающих
проведение социотехнических атак, руководящий комитет по обеспечению
безопасности может определить для компании требования политики
безопасности, типы и уровни риска. При этом можно использовать формат
таблицы 10.
Таблица 10. Форма для руководящего комитета, служащая для
определения требований к обеспечению безопасности и оценки факторов
риска
|
Изложить политики защиты от угроз, основанных на
методах социотехники, в письменной форме |
|
|
|
|
Внести пункт о необходимости соблюдения политик
в стандартный контракт с сотрудником |
|
|
|
|
Внести пункт о необходимости соблюдения политик
в стандартный контракт с подрядчиком |
|
|
|
Сетевые атаки |
|
|
|
|
Электронная почта |
Принять политику, регламентирующую действия
сотрудников при получении вложений конкретных типов |
|
|
|
Интернет |
Принять политику, регламентирующую использование
Интернета |
|
|
|
Всплывающие приложения |
Включить в политику использования Интернета
явные указания по поводу того, что следует делать при появлении
всплывающих диалоговых окон |
|
|
|
Служба мгновенного обмена сообщениями |
Принять политику, определяющую поддерживаемые и
допустимые клиентские программы мгновенного обмена
сообщениями |
|
|
|
Телефонные атаки |
|
|
|
|
Корпоративная телефонная станция |
Принять политику управления обслуживанием
корпоративной телефонной станции |
|
|
|
Служба поддержки |
Принять политику, регламентирующую
предоставление доступа к данным |
|
|
|
Поиск информации в мусоре |
|
|
|
|
Бумажный мусор |
Принять политику утилизации бумажного
мусора |
|
|
|
|
Определить принципы использования мусорных
контейнеров |
|
|
|
Электронный мусор |
Принять политику утилизации электронного
мусора |
|
|
|
Персональные подходы |
|
|
|
|
Физическая безопасность |
Принять политику работы с посетителями |
|
|
|
Безопасность офисов |
Принять политику управления идентификаторами и
паролями пользователей, запрещающую, например, запись паролей на
клейких листках, прикрепленных к монитору |
|
|
|
Сотрудники, работающие дома |
Принять политику использования мобильных компьютеров вне
компании
|
|
|
|
Другие направления атак
и уязвимости, специфические для компании |
|
|
|
|
Подрядчики, работающие на объектах
компании |
Принять политику проверки сотрудников сторонних
фирм |
|
|
|
Сотрудники каждого подразделения будут по-разному воспринимать риск,
связанный с различными угрозами. Члены комитета по обеспечению
безопасности должны учесть их мнения и прийти к согласию по поводу
важности разных факторов риска.
Для получения дополнительной информации о методологиях и инструментах
оценки риска обратитесь к документу «Руководство по оценке риска, связанного с обеспечением
безопасности», расположенному по адресу
http://go.microsoft.com/fwlink/?linkid=30794 (данная ссылка может
указывать на содержимое полностью или частично на английском языке).
Социотехника и политики безопасности
Руководящие органы компании и представители ее ИТ-подразделения должны
разработать эффективную политику безопасности и помочь реализовать ее в
корпоративной среде. Иногда в политике безопасности основное внимание
уделяется техническим средствам защиты, помогающим бороться с техническими
же угрозами, примерами которых могут служить вирусы и черви. Эти средства
ориентированы на защиту технических элементов среды, таких как файлы
данных, приложения и операционные системы. Средства защиты от
социотехнических угроз должны помогать отражать социотехнические атаки на
сотрудников компании.
Для главных областей обеспечения безопасности и факторов риска
руководящий комитет по обеспечению безопасности должен разработать
документацию, регламентирующую соответствующие процедуры, процессы и
бизнес-операции. В следующей таблице показано, как руководящий комитет по
обеспечению безопасности с помощью заинтересованных сторон может
определить документы, необходимые для поддержки политики безопасности.
Таблица 11. Требования к процедурам и документации, определяемые
руководящим комитетом
Изложить политики защиты от угроз, основанных на
методах социотехники, в письменной форме |
Отсутствуют |
|
Внести пункт о необходимости соблюдения политик
в стандартный контракт с сотрудником |
1. |
Сформулировать новые контрактные
требования (юридическая служба) |
2. |
Определить новый формат контрактов,
заключаемых с подрядчиками | |
|
Внести пункт о необходимости соблюдения политик
в стандартный контракт с подрядчиком |
1. |
Сформулировать новые контрактные
требования (юридическая служба) |
2. |
Определить новый формат контрактов,
заключаемых с подрядчиками | |
|
Принять политику работы с посетителями |
1. |
Разработать процедуру регистрации
посетителей при входе на объект и выходе с него |
2. |
Разработать процедуру сопровождения
посетителей | |
|
Определить принципы использования мусорных
контейнеров |
1. |
Разработать процедуру утилизации бумажного
мусора (см. данные) |
2. |
Разработать процедуру утилизации
электронного мусора (см. данные) | |
|
Принять политику, регламентирующую
предоставление доступа к данным |
|
|
Принять политику утилизации бумажного
мусора |
|
|
Принять политику утилизации электронного
мусора |
|
|
Включить в политику использования Интернета
явные указания по поводу того, что следует делать при появлении
всплывающих диалоговых окон |
|
|
Принять политику управления идентификаторами и
паролями пользователей, запрещающую, например, запись паролей на
клейких листках, прикрепленных к монитору, и т. д. |
|
|
Принять политику использования мобильных
компьютеров вне компании |
|
|
Принять политику разрешения проблем при
подключении к приложениям партнеров (таким как банковские и
финансовые приложения, системы управления закупками и
материально-техническими запасами) |
|
|
Как видите, такой список может оказаться в итоге довольно длинным.
Чтобы ускорить его составление, можно воспользоваться помощью
специалистов. Особое внимание руководящий комитет по обеспечению
безопасности должен уделить приоритетным областям, определенным в ходе
оценки риска.