Monitorium 1.7 Методика по расследованию утечек информации через Интернет Дата редакции: апрель 2011 Monitirum 1.7. Методика по расследованию утечек информации через Интернет 2 Оглавление Оглавление .......................................................................................................................................... 2 Введение.............................................................................................................................................. 4 Аудитория ........................................................................................................................................... 4 Дополнительная документация ........................................................................................................ 5 Используемые термины ..................................................................................................................... 5 Часть I. Цели, задачи СИСТЕМЫ. Модель нарушителя ............................................................ 7 Глава 1. ОБЩИЕ СВЕДЕНИЯ ...................................................................................................... 8 1.1. Задачи ................................................................................................................................ 8 1.2. Цели, достигаемые с помощью Системы ...................................................................... 8 1.2.1. Управление информационной безопасностью: ......................................................... 8 1.2.2. Управление информационно-вычислительной сетью: ............................................. 8 1.2.3. HR Управление: ............................................................................................................ 8 Глава 2. Управление информационной безопасностью. Модель нарушителя ......................... 9 2.1. Внутренний нарушитель информационной безопасности .......................................... 9 2.2. Оптимизация затрат ......................................................................................................... 9 2.2.1. Соответствие нормам законодательства РФ .............................................................. 9 2.2.2. Определение уязвимостей ........................................................................................... 9 2.2.3. Контроль использования Интернет-ресурсов.......................................................... 10 Часть II. Разработка мероприятий по профилактике утечек информации через Интернет ... 11 Глава 3. Подготовительные мероприятия .................................................................................. 12 3.1. Управление информационной безопасностью. Рекомендации по разработке мероприятий по предотвращению утечек ............................................................................. 12 3.2. Управление информационной безопасностью. Настройка СИСТЕМЫ ................... 13 А. Охрана документов ........................................................................................................ 13 Б. Защита персональных данных ...................................................................................... 14 В. Защита конфиденциальной информации определенной тематики ........................... 14 Г. Защита отсканированных документов и отправляемых факсов ................................... 14 Д. Контроль определенного e-mail .................................................................................... 15 Е. Контроль внешнего e-mail (отправлений не с корпоративного почтового адреса) . 15 Ж. Контроль e-mail .............................................................................................................. 15 3.3. Управление персоналом. Настройка СИСТЕМЫ ....................................................... 16 А. Контроль лояльности сотрудников .............................................................................. 16 Б. Исключение нецелевого использования ресурсов ...................................................... 16 В. Контроль сохранения ключевых сотрудников от переманивания конкурентами .... 16 3.4. Управление информационно-вычислительной сетью. Настройка СИСТЕМЫ ....... 17 А. Исключение поиска анонимных прокси ...................................................................... 17 Б. Выявление наиболее посещаемых Интернет-ресурсов ............................................. 17 www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет Глава 4. 3 Расследование НАРУШЕНИЯ ...................................................................................... 19 4.1. Рекомендации при фиксировании СИСТЕМОЙ НАРУШЕНИЯ .............................. 20 4.2. Действия при поступлении уведомления о нарушении. ............................................ 21 4.3. Действия по предупреждению повторного возникновения инцидента ................... 25 Приложение А. Перечень сведений составляющих коммерческую тайну (пример) .......... 26 Приложение Б. Номенклатура должностей работников, допускаемых к сведениям, составляющих коммерческую тайну .......................................................................................... 30 Приложение В. Форма журнала регистрации инцидентов.................................................... 31 Приложение Г. Типовой регламент работы администратора безопасности ........................ 34 Приложение Д. Каналы, используемые внутренними нарушителями. Классификация внутренних нарушителей ............................................................................................................ 39 А. Неосторожные (халатные) ............................................................................................ 40 Б. Манипулируемые ........................................................................................................... 41 В. Саботажники (обиженные сотрудники)....................................................................... 41 Г. Нелояльные ........................................................................................................................ 42 Д. Нарушители, мотивированные извне........................................................................... 42 Е. Любопытные .................................................................................................................. 43 Приложение Е. Глоссарий ........................................................................................................ 44 www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 4 Введение В настоящем руководстве представлены рекомендации по использованию комплекса Monitorium 1.7 (далее по тексту СИСТЕМА) для расследования фактов утечки информации через Интернет. СИСТЕМА разработана исходя из следующих задач системы информационной безопасности: - своевременное выявление и устранение угроз безопасности и ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба интересам Компании; - создание механизма и условий оперативного реагирования на угрозы безопасности и проявлению негативных тенденций в функционировании Компании; - эффективное пресечение посягательств на ресурсы Компании на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности; - создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение целей Компании; - защита информации должна быть: централизованной; плановой; конкретной и целенаправленной; активной; наряду с принципом ―обнаружить и устранить” принцип ―предвидеть и предотвратить”; надежной и универсальной, нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам; открытой для изменения и дополнения мер обеспечения безопасности информации; экономически эффективной; затраты на систему защиты не должны превышать размеры возможного ущерба. Аудитория Информация, содержащаяся в руководстве, предназначена для ОПЕРАТОРОВ www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 5 СИСТЕМЫ, которыми могут являться следующие сотрудники компании: Руководитель компании Руководитель подразделения управления персоналом Руководитель подразделения, отвечающего за информационную безопасность Линейные руководители Администратор локальной информационной сети компании Для использования СИСТЕМЫ достаточно иметь опыт работы с интернет-браузерами Internet Explorer или Mozilla Firefox. Дополнительная документация Дополнительные сведения содержатся в следующих документах: Monitorium 1.7. Руководство пользователя. В документе описывается рекомендации по использованию СИСТЕМЫ. Monitorium 1.7. Руководство администратора. В документе описывается установка и первоначальная настройка. Методика разработана с использованием следующих материалов: 1. Государственные стандарты: ГОСТ Р ИСО/МЭК ТО 18044-2007, ГОСТ Р ИСО/МЭК 27001-2006 и ГОСТ Р ИСО/МЭК 17799-2005 2. Ресурс www.wikisec.ru 3. Учебный курс «Администратор безопасности сети» Digital Security http://www.dsectrain.ru/education/cdcourses 4. Учебный курс «Информационная безопасность». Академия Народного Хозяйства Экономический факультет, Школа IT-Менеджмента Используемые термины 1. НАРУШЕНИЕ – сообщение, отправленное пользователем корпоративной сети в Интернет и перехваченное СИСТЕМОЙ на основании ПРАВИЛ. 2. ПРАВИЛО - критерии, сформированные ОПЕРАТОРОМ, для автоматического определения СИСТЕМОЙ является передаваемые в Интернет сообщения www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 6 НАРУШЕНИЕМ или нет. 3. ОПЕРАТОР – авторизованный пользователь аппаратно-программного комплекса Monitorium 1.7. 4. СИСТЕМА - аппаратно-программный комплекс Monitorium 1.7 5. СООБЩЕНИЕ - текст, файл, поисковый запрос, сообщения интернет-пейджеров, необрабатываемые протоколы, передаваемые пользователями корпоративной сети в Интернет, т.е. всѐ, что СИСТЕМА может извлечь и проанализировать из передаваемых сетевых пакетов. Для наглядности в тексте документации используются различные стили оформления (см. Таблица 1). Таблица 1. Стили оформления Стиль оформления Полужирный шрифт Область применения Названия элементов Пример Вкладка Отчеты графического пользовательского интерфейса (кнопки, команды меню и пр.) Курсив В примерах, описаниях, а так Monitorium . Руководство же названия и значения администратора ЗАГЛАВНЫЕ БУКВЫ ТЕРМИНЫ ОПЕРАТОР Моноширный шрифт Имена файлов, примеры vkontakte.ru поисковых конструкций *.narod.ru www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет Ч а с т ь I . Ц е л и , з а д ач и С И С Т Е М Ы . М од е л ь нарушителя www.trafica.ru 7 Monitirum 1.7. Методика по расследованию утечек информации через Интернет ГЛАВА 1. 1.1. ОБЩИЕ СВЕДЕНИЯ Задачи Основной задачей СИСТЕМЫ является контроль исходящего интернет - трафика, и автоматическое выявление НАРУШЕНИЙ. 1.2. Цели, достигаемые с помощью Системы 1.2.1. Управление информационной безопасностью: - Контроль передачи через интернет защищаемых документов (целиком или любой части текста документа, в том числе и в заархивированном виде) через каналы: электронной почты, Интернет-ресурсы, передачи файлов по ftp. - Предотвращение утечки конфиденциальной информации - Предотвращение утечки персональных данных 1.2.2. Управление информационно-вычислительной сетью: - Контроль интернет-активности сотрудников - Ограничение доступа пользователей корпоративной сети к Интернет-ресурсам 1.2.3. HR Управление: - Мониторинг лояльности сотрудников - Контроль ведения сотрудниками сторонней предпринимательской деятельности в рабочее время - Контроль возможности переманивания ключевых сотрудников Компании конкурирующими компаниями - Предотвращение нецелевого использования ресурсов Компании - Контроль поиска другой работы www.trafica.ru 8 Monitirum 1.7. Методика по расследованию утечек информации через Интернет 9 В интернете информация бесплатна, но она нередко оказывается разорительно дорогой. У. Боннер ГЛАВА 2. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ. МОДЕЛЬ НАРУШИТЕЛЯ Внутренний нарушитель информационной безопасности 2.1. Под нарушителем в общем виде понимается лицо, которое в результате предумышленных или непредумышленных действий обеспечивает реализацию угроз информационной безопасности. Для каждой отрасли разработаны частные модели угроз, в которых описан типовой портрет нарушителя. В Приложение Д для примера приведен типовой портрет нарушителя. 2.2. Оптимизация затрат Для оптимизации затрат по защите информационных активов рекомендуется определить потенциальные угрозы и вероятную частоту наступления нежелательного события, а так же размер потерь к которым оно может привести. 2.2.1. Соответствие нормам законодательства РФ Определить, какую информацию следует защищать в соответствии с требованиями законодательства РФ, оценить потери, к которым могут привести штрафные санкции (отзыв лицензии и т.п.). 2.2.2. Определение уязвимостей В зависимости от целей и интересов конкурентов определить информацию, которая имеет ценность, прежде всего с их точки зрения (и/или злоумышленников), т.е. то, что можно наиболее быстро перевести в денежный эквивалент, например: - Информация, опубликование которой способно нанести ущерб репутации; - Информация, которую можно использовать для шантажа; - Информация о ключевых сотрудниках, уход которых в конкурирующую компанию может нанести урон бизнесу; - Тендерная документация; www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет - Коммерческая информация; - Клиентские базы; - Информация о перспективных технологиях и разработках; - Другая, наиболее важная для компании информация. 2.2.3. Контроль использования Интернет-ресурсов Чтобы снизить возможность утечки информации через Интернет, следует контролировать использование сотрудниками Компании использование Интернет-ресурсов, блокируя в случае необходимости доступ к нежелательным ресурсам. С помощью СИСТЕМЫ перечисленные задачи решаются через настройку Правил (см. Monitorium 1.7. Руководство пользователя). Для поддержки актуальности защиты информационных активов рекомендуется регулярно вносить изменения и дополнения в Правила, которые разрабатываются, а при необходимости изменяются и дополняются в течение всего периода использования СИСТЕМЫ ответственным сотрудником. www.trafica.ru 10 Monitirum 1.7. Методика по расследованию утечек информации через Интернет Часть II. Разработка мероприятий по про фила кт ике у теч е к ин формац и и ч е ре з Интернет www.trafica.ru 11 Monitirum 1.7. Методика по расследованию утечек информации через Интернет ГЛАВА 3. 3.1. 12 ПОДГОТОВИТЕЛЬНЫЕ МЕРОПРИЯТИЯ Управление информационной безопасностью. Рекомендации по разработке мероприятий по предотвращению утечек Для предотвращения утечек любым типом нарушителей должны быть разработаны меры по защите информации (коммерческой тайны) Компании1: 1. в соответствии с п.5 ГОСТ Р ИСО/МЭК 17799-2005 определить перечень защищаемой информации (составляющей коммерческую тайну), рекомендованная форма2 перечная см. Приложение А; 2. на материальные носители (документы), а так же на документы в электронном виде содержащие защищаемую информацию (составляющую коммерческую тайну), нанести соответствующий гриф с указанием обладателя этой информации; 3. для хранения и обновления документов, содержащих защищаемую информацию (составляющие коммерческую тайну) в электронном виде, выделить репозиторий ограниченного в соответствии с п.9 ГОСТ Р ИСО/МЭК 17799-2005 доступа; 4. соответствии с п.5.2 ГОСТ Р ИСО/МЭК 17799-2005 классифицировать документы, содержащие защищаемую информацию (составляющую коммерческую тайну) по тематике; 5. составить список расширений файлов, в которых потенциально могут содержаться отсканированные либо переданные по факсу документы, содержащие защищаемую информацию (составляющую коммерческую тайну); 6. определить формат хранения данных в ИСПДн, попадающих под категорию «персональные данные»; 1 В соответствии с ГОСТ Р ИСО/МЭК 17799-2005 . Digital Security http://www.dsectrain.ru/education/cdcourses Учебный курс администратор безопасности сети. Шпак В.Ф. Тема 10.Глава 4 / 2 www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 13 7. в соответствии с п.9 ГОСТ Р ИСО/МЭК 17799-2005 определить список лиц, имеющих доступ к защищаемой информации (составляющей коммерческую тайну), путем установления порядка обращения с этой информацией, определить контроль его соблюдения; 8. в соответствии с п.9 ГОСТ Р ИСО/МЭК 17799-2005 ввести учет лиц, получивших доступ к защищаемой информации (составляющей коммерческую тайну), и (или) лиц, которым такая информация была предоставлена или передана, рекомендованная форма3 перечная см. Приложение Б; 9. в соответствии с п.6 ГОСТ Р ИСО/МЭК 17799-2005 формализовать отношения по использованию защищаемой информации (составляющей коммерческую тайну) с работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; 3.2. Управление информационной безопасностью. Настройка СИСТЕМЫ Перед настройкой СИСТЕМЫ должен быть определен список пользователей корпоративной сети (VIP-список), СООБЩЕНИЯ с рабочих станций которых НЕ будут анализироваться СИСТЕМОЙ. А. Охрана документов Для контроля передачи (целиком или любой части текста документа, в том числе и в заархивированном виде) через каналы: электронной почты, Интернет-ресурсы, передачи файлов по ftp, выполнить следующие действия: 1. Разработать в СИСТЕМЕ Правило типа Охрана документов. 2. Выбрать контролируемые каналы передачи 3. В случае необходимости выбрать режим блокировки 4. Установить признак «Получать уведомления по электронной почте». 5. В данное правило загрузить из репозитория документы на охрану. 6. Активировать Правило. 3 . Digital Security http://www.dsectrain.ru/education/cdcourses Учебный курс администратор безопасности сети. Шпак В.Ф. Тема 10.Глава 4 / www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет Б. 14 Защита персональных данных Для контроля передачи через интернет персональных данных выполнить следующие действия: 1. Разработать в Системе Правило типа Фраза. 2. В данное правило ввести шаблон в соответствии с порядком хранения персональных данных в информационной системе обработки персональных данных. 3. Выбрать контролируемые каналы передачи 4. В случае необходимости выбрать режим блокировки 5. Установить признак «Получать уведомления по электронной почте». 6. Активировать Правило. В. Защита конфиденциальной информации определенной тематики Для контроля передачи через интернет конфиденциальных документов определенной тематики выполнить следующие действия: 1. Разработать Словарь соответствующей тематики. Для этого подготовить комплект документов по теме, пересылку документов в соответствии с которой нужно контролировать. 2. Сформировать Словарь. 3. Разработать в СИСТЕМЕ Правило типа «Словарь». 4. Выбрать сформированный словарь в соответствии с заданной тематикой. 5. Выбрать контролируемые каналы передачи 6. Установить признак «Получать уведомления по электронной почте». 7. В случае необходимости выбрать режим блокировки 8. Активировать Правило. Г. Защита отсканированных документов и отправляемых факсов Для контроля передачи через интернет конфиденциальных документов, отсканированных или передаваемых по факсу выполнить следующие действия: 1. Разработать в СИСТЕМЕ Правило типа Формат файла, выбрав тип файла «Изображение» 2. Выбрать контролируемые каналы передачи www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 3. Установить признак «Получать уведомления по электронной почте». 4. В случае необходимости выбрать режим блокировки 5. Активировать Правило. Д. Контроль определенного e-mail Для контроля определенного e-mail, (например masha@trafica.ru) выполнить следующие действия: 1. Разработать в СИСТЕМЕ Правило типа Фраза, 2. Внести в Содержание адрес, например masha@trafica.ru 3. Установить признак «Получать уведомления по электронной почте». 4. Активировать Правило. Примечание: по данному правилу будут перехватываться все письма, где masha@trafica.ru является получателем, либо отправителем, либо упоминается в письме. Е. Контроль внешнего e-mail (отправлений не с корпоративного почтового адреса) Для контроля отправлений не с корпоративного почтового аккаунта (например trafica.ru) выполнить следующие действия: 1. Разработать в СИСТЕМЕ Правило типа Фраза, 2. Внести в Содержание адрес, например содержимое: "%pcre:.*@([^t]|(t[^r])|(tr[^a])|(tra[^f])).*% 3. Установить признак «Получать уведомления по электронной почте». 4. Активировать Правило. Примечание: по данному правилу будут перехватываться все письма, в которых в поле получателя или отправителя после символа @ идет любая последовательность не начинающаяся с "tra". Ж. Контроль e-mail Для контроля всех e-mail выполнить следующие действия: 1. Разработать в СИСТЕМЕ Правило типа Фраза, 2. Внести в Содержание символ * www.trafica.ru 15 Monitirum 1.7. Методика по расследованию утечек информации через Интернет 16 3. Выбрать канал Почта 4. Активировать Правило. Примечание: по данному правилу будут перехватываться все письма. 3.3. А. Управление персоналом. Настройка СИСТЕМЫ Контроль лояльности сотрудников Для контроля лояльности сотрудников выполнить следующие действия: 1. Разработать в СИСТЕМЕ Правило типа Имя хоста. 2. Внести в Содержание список ресурсов для поиска работы, например: rusrabota.ru, vacansia.ru, job.ru, hh.ru, superjob.ru, zarplata.ru, rabota.ru, techhome.ru, careerist.ru. 3. Установить признак «Получать уведомления по электронной почте». 4. Активировать Правило. Б. Исключение нецелевого использования ресурсов Для контроля нецелевого использования ресурсов выполнить следующие действия: 1. Разработать в СИСТЕМЕ Правило типа Имя хоста. 2. Внести в Содержание список социальных ресурсов, например: mirtesen.ru, my.mail.ru, facebook.com, monamour.ru, cheblove.ru, znakomstva-ot18.ru, vkontakte.ru, znakomstva-sitelove.ru, odnoklassniki.ru, t4you.ru, login.vk.com, youdo.ru, gipfelforyou.ru, hobbyforyou.ru, zheniha.net, you-sudba.ru, znakom.realove.ru, you2you.ru, znakomctba.ru, znakom.realove.ru, neklassniki.ru, your-lada.ru, yourideal.com, forex4you.org, stats.yourminis.com,”*game*”. 3. Установить признак «Получать уведомления по электронной почте». 4. В случае необходимости выбрать режим блокировки 5. Активировать Правило. В. Контроль сохранения ключевых сотрудников от переманивания конкурентами Для контроля лояльности сотрудников выполнить следующие действия: www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 17 1. Разработать в СИСТЕМЕ Правило типа «Фраза». 2. Внести в Содержание фразы, типа: «лови резюме”, «мое резюме» и подобных. 3. Установить признак «Получать уведомления по электронной почте». 4. Активировать Правило. Управление информационно-вычислительной сетью. Настройка 3.4. СИСТЕМЫ А. Исключение поиска анонимных прокси Для контроля передачи через интернет конфиденциальных документов, используя анонимные прокси выполнить следующие действия: 1. Разработать в СИСТЕМЕ Правило типа Фраза 2. В качестве контролируемого канала выбрать Поисковые запросы 3. В поле Содержимое внести словосочетания, например: Proxy Lists, anonymizer, анонимайзер, анонимные прокси, список анонимных прокси. 4. Установить признак «Получать уведомления по электронной почте». 5. В случае необходимости выбрать режим блокировки 6. Активировать Правило. Б. Выявление наиболее посещаемых Интернет-ресурсов4 В зависимости от поставленных руководством Компании задач, для контроля использования ресурсов СИСТЕМА предоставляет возможность разработать Правила по категориям: Таблица 2. Категории интернет-ресурсов № 1 2 3 4 5 6 7 Тематика интернет-ресурсов Азартная игра Алкоголь и табак Вакансии Военные и оружия Загрузки Здравоохранение Знакомства 4 Рекомендуется активировать данное Правило один раз в квартал на неделю для контроля посещения ресурсов. Т.к. постоянная работа данного Правила приведет к быстрому заполнению жесткого диска www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 Игры Наркотики Насилия Недвижимость Новости Объявления Образование Поисковые системы / Каталоги Хостинг Мобильные телефоны Покупка товаров Порнографии Потоковое мультимедиа Правительство Путешествия Религия Социальные сообщества Спорт Транспортные средства Финансы Фишинг / Spyware / Вирус / Прокси Webmail Для выявления наиболее посещаемых ресурсов выполнить следующие действия: 1. Разработать в СИСТЕМЕ Правило типа Имя хоста. 2. Внести в Содержание символ «*» 3. Выбрать режим мониторинга. 4. Активировать Правило. Через неделю после создания деактивировать Правило и проанализировать отчет о наиболее часто используемых ресурсах. После согласования с руководством Компании сопоставить посещаемые ресурсы в соответствии с тематикой (см. Таблица 2) и разработать Правила по согласованным типам ресурсов. В случае необходимости, выполнить настройки по блокировке нежелательных ресурсов (детально работа с Правилами описана в документе Monitorium 1.7. Руководство пользователя, Глава 5). www.trafica.ru 18 Monitirum 1.7. Методика по расследованию утечек информации через Интернет ГЛАВА 4. 19 РАССЛЕДОВАНИЕ НАРУШЕНИЯ Расследование НАРУШЕНИЯ – процесс, целью которого является сбор доказательной базы, подтверждающей или опровергающей факт нарушения политики информационной безопасности, а также определение нарушителя. Расследование включает четыре этапа (см. Рисунок 1). Рисунок 1. Расследование инцидента Этап 1. при поступлении оповещения о НАРУШЕНИИ происходит оценка его значительности; Этап 2. информация, собранная на втором этапе, включая мероприятия нетехнического характера, служит в дальнейшем для выработки стратегии реагирования на инцидент; Этап 3. определяется, кто, что, как, когда, где и почему были вовлечены в инцидент; Этап 4. формируется итоговый отчет. Все мероприятия по выявлению и расследованию НАРУШЕНИЙ, связанных с утечкой защищаемой информации (составляющей коммерческую тайну), должны осуществляться сотрудником с выделенной ролью администратор безопасности. Для этого в Компании должен быть разработан документ «Регламент работы администратора безопасности» (рекомендованная форма см. Приложение Г). В общем случае факт несанкционированной передачи информации характеризуется следующими параметрами: КТО – сотрудник, выполнивший передачу СООБЩЕНИЯ за пределы информационной сети Компании ЧТО – состав переданной в СООБЩЕНИИ информации ИСТОЧНИК – откуда была выполнена передача информации (например, рабочая станция сотрудника) КАК – канал передачи www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 20 КУДА – получатель КОГДА – время передачи Администратор безопасности использует СИСТЕМУ в рамках осуществления своей деятельности по выявлению фактов утечки защищаемой информации по контролируемым каналам. Порядок использования СИСТЕМЫ детально описан в документе Monitorium 1.7. Руководство пользователя: - Запуск и подключение к консоли см. Часть I; - Особенности работы с информацией, описаны в Части II. 4.1. Рекомендации при фиксировании СИСТЕМОЙ НАРУШЕНИЯ Все СООБЩЕНИЯ, перехватываемые СИСТЕМОЙ, должны быть проанализированы администратором безопасности на наличие в них защищаемой информации (составляющей коммерческую тайну). Если по результатам анализа был выявлен факт передачи в СООБЩЕНИИ защищаемой информации (составляющей коммерческую тайну) то, согласно требованиям документа «Регламент работы администратора безопасности» (рекомендуемая форма см. Приложение Г), после сбора дополнительных сведений о НАРУШЕНИИ, необходимо письменно уведомить уполномоченного руководителя, который выносит решение о серьезности зафиксированного НАРУШЕНИЯ. В случае принятия уполномоченным руководителем решения о возникновении серьезного инцидента, способного нанести существенный ущерб интересам и деятельности Компании, провести работы по уничтожению, либо компрометации отправленных данных на стороне получателя. Дополнительно администратор безопасности принимает непосредственное участие при проведении расследования. При этом проводится сбор и анализ дополнительных сведений, таких как журналы аудита рабочей станции, журналы доступа в помещения, текущий круг функциональных обязанностей пользователя, осуществившего утечку защищаемой информации, а также других сведений, необходимых для выявления лиц, связанных с инцидентом, их мотивов и совершенных ими действий. Все собранные в процессе расследования сведения заносятся в журнал регистрации инцидентов информационной безопасности (рекомендуемая форма см. Приложение В). По завершению расследования инцидента информационной безопасности вся www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 21 информация о ходе расследования, выполненных действиях и собранных свидетельствах оформляется в виде отчета. Составленный отчет используется руководством Компании и соответствующими службами для принятия решения о применении дисциплинарных мер в отношении связанных с инцидентом лиц или иных мер, предусмотренных законодательством Российской Федерации. 4.2. Действия при поступлении уведомления о нарушении. При получении уведомления по электронной почте о срабатывании Правила, выполнить следующие действия: 1. В веб-интерфейсе СИСТЕМЫ перейти на вкладку Отчеты. 2. Выбрать необходимый временной период. 3. На круговой диаграмме Правила выбрать необходимое Правило. В результате на круговой диаграмме Нарушители будет сформирована диаграмма рабочих станций, с которых были зафиксированы НАРУШЕНИЯ (см. Рисунок 2). Рисунок 2. Диаграмма Нарушители 4. В диаграмме «Нарушители» выбрать рабочую станцию, с которой отправлены СООБЩЕНИЯ, зафиксированные на основании Правила как НАРУШЕНИЯ. В результате на круговых диаграммах будет сформирован профиль нарушений с данной рабочей станции по данному Правилу за выбранный временной период: диаграммы «Хосты», «Уровни опасности» и «Каналы» (см. Рисунок 3, Рисунок 4, Рисунок 5). www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет Рисунок 3. Хосты Рисунок 4. Уровни опасности www.trafica.ru 22 Monitirum 1.7. Методика по расследованию утечек информации через Интернет 23 Рисунок 5. Каналы Снять фильтр Правила, для этого подвести курсор мыши и щелкнуть на значок 5. . В результате сформируются диаграммы для определения, какие Наборы правил и Типы правил наиболее часто нарушаются с данной рабочей станции. А так же частота пересылки СООБЩЕНИЙ по различным каналам (см. Рисунок 6). Рисунок 6. Наиболее нарушаемые Наборы правил и Типы правил 6. Для получения более подробной информации по НАРУШЕНИЮ перейти на вкладку Отчет. 7. Открыть окно Детали нарушения на НАРУШЕНИИ (см. Рисунок 7). При нажатии на символ будут отображены какие еще НАРУШЕНИЯ по www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет различным Правилам зафиксированы при отправке данного СООБЩЕНИЯ. Рисунок 7. Окно Детали нарушения Примечание: При необходимости, выгрузить содержимое сформированного Отчета в директорию на рабочую станцию администратора безопасности (см. Monitorium 1.7. Руководство пользователя. п. 4.2.1. Вкладка Отчеты) 8. Перейти на вкладку Поиск и осуществить поиск по данной рабочей станции. В результате будет выведены все НАРУШЕНИЯ, зафиксированные СИСТЕМОЙ. www.trafica.ru 24 Monitirum 1.7. Методика по расследованию утечек информации через Интернет 25 Рисунок 8. Поиск по нарушителю 9. Сформировать отчет по расследованию инцидента (рекомендуемая форма см.Приложение В). 4.3. Действия по предупреждению повторного возникновения инцидента После устранения последствий инцидента провести мероприятия: A) Организационные, например: Проведение дополнительного обучения сотрудника. Ознакомление с правилами обращения с конфиденциальной информацией. Доведение до сотрудника информации о недопустимости несанкционированной передачи конфиденциальной информации за пределы организации и ответственности за нарушение установленных в Компании правил. Ограничение доступа сотрудника к конфиденциальной информации. Вынесение предупреждений и другие меры административного характера. Другие A) Технические, по внесению изменений и дополнений в настройки Правил СИСТЕМЫ (см. 3.2,). www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 26 Приложение А. Перечень сведений составляющих коммерческую тайну (пример) УТВЕРЖДАЮ Руководитель ________________________________ от ―____‖_________20__г. №______ ПЕРЕЧЕНЬ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ ТАЙНУ _________ № п/п Наименование сведений Степень конфиденциальности 1 2 3 1.СВЕДЕНИЯ СТРАТЕГИЧЕСКОГО ХАРАКТЕРА 1.1. Сведения о стратегических и тактических планах СТРОГО развития, планах коммерческой деятельности и путях КОНФИДЕНЦИАЛЬНО их реализации; 1.2. сведения о конкретных проблемах, сдерживающих развитие. СТРОГО КОНФИДЕНЦИАЛЬНО 2. ДЕЛОВАЯ ИНФОРМАЦИЯ 2.1. Сведения о нетрадиционных подходах при разрешении возникающих проблем, а также путях решения организационных и деловых задач, обеспечивающих преимущество в условиях конкуренции; СТРОГО КОНФИДЕНЦИАЛЬНО 2.2. сведения о степени заинтересованности Объекта в клиентах, партнерах и посредниках, уровне и характере взаимоотношения с ними; СТРОГО КОНФИДЕНЦИАЛЬНО 2.3. сведения об условиях отдельных контрактов, соглашений, платежей, услуг и т.п.; СТРОГО КОНФИДЕНЦИАЛЬНО 2.4. сведения о планируемых (разработанных) этапах предстоящих сделок, задачах и тактике предстоящих СТРОГО переговоров, составе участников, времени и месте их КОНФИДЕНЦИАЛЬНО проведения; 2.5. сведения о результатах анализа специалистами www.trafica.ru СТРОГО Monitirum 1.7. Методика по расследованию утечек информации через Интернет состояния рынка и конкурентоспособности; 2.6. 27 КОНФИДЕНЦИАЛЬНО сведения, использование которых позволяет предложить новые услуги или значительно повысить КОНФИДЕНЦИАЛЬНО их качество, заключать выгодные сделки, привлекать дополнительные средства. 3. СВЕДЕНИЯ ПО СЧЕТАМ И ОПЕРАЦИЯМ 3.1. Сведения о наличии, владельцах и номерах счетов депозиторов, клиентов и корреспондентов; КОНФИДЕНЦИАЛЬНО 3.2. сведения об остатках и движении денежных средств на счетах депозиторов, клиентов, корреспондентов и самого Объекта; КОНФИДЕНЦИАЛЬНО 3.3. сведения об операциях Объекта (за исключением общих условий проведения операций); КОНФИДЕНЦИАЛЬНО 3.4. сведения о наличии, владельцах, характере и стоимости имущества клиентов, находящегося на КОНФИДЕНЦИАЛЬНО хранении в сейфовых ящиках, шкафах и помещениях Объекта. 4. СВЕДЕНИЯ ЭКОНОМИЧЕСКОГО ХАРАКТЕРА 4.1. Сведения о не поступлении ожидаемых доходов; КОНФИДЕНЦИАЛЬНО 4.2. сведения по коммерческим кредитам, имеющим большую степень риска вложений; СТРОГО КОНФИДЕНЦИАЛЬНО 4.3. сведения об устойчивом снижении доходов; СТРОГО КОНФИДЕНЦИАЛЬНО 4.4. сведения о планируемом создании дочерних и т.п. структур с участием Объекта и размерах образуемых уставных фондов; КОНФИДЕНЦИАЛЬНО сведения о размерах и условиях планируемых кредитов. КОНФИДЕНЦИАЛЬНО 4.5. 5. СВЕДЕНИЯ ТЕХНОЛОГИЧЕСКОГО ХАРАКТЕРА 5.1. Сведения о существующей технологии обработки информации ограниченного доступа (реальной информационной модели); КОНФИДЕНЦИАЛЬНО сведения об уровне автоматизации отдельных процессов, применяемых средствах и системах информатизации и связи, их преимуществах и недостатках, степени отработки; КОНФИДЕНЦИАЛЬНО 5.3. сведения о планах внедрения отдельных новых технологий обработки информации; КОНФИДЕНЦИАЛЬНО 5.4. отдельные сведения о планах развития корпоративной КОНФИДЕНЦИАЛЬНО сети. 5.2. 6. СВЕДЕНИЯ ПО КАССЕ 6.1. Сведения о наличии денег и других ценностей в хранилищах, а также в рабочих сейфах и кассах www.trafica.ru КОНФИДЕНЦИАЛЬНО Monitirum 1.7. Методика по расследованию утечек информации через Интернет 28 кассиров; 6.2. сведения о кассовых оборотах, порядке инкассации, сроках и суммах денежной выручки. КОНФИДЕНЦИАЛЬНО 7. СВЕДЕНИЯ О СОСТОЯНИИ РЕЖИМА БЕЗОПАСНОСТИ 7.1. Сведения, раскрывающие политику безопасности Объекта; 7.2. сведения об организации и реальном состоянии работ СТРОГО по обеспечению режима физической безопасности КОНФИДЕНЦИАЛЬНО Объекта; 7.3. сведения об организации и реальном состоянии работ СТРОГО по обеспечению режима информационной КОНФИДЕНЦИАЛЬНО безопасности Объекта; 7.4. сведения о действующей системе защиты информации в корпоративной сети, состоянии защищенности средств и систем информатизации и связи; СТРОГО КОНФИДЕНЦИАЛЬНО сведения о шифрах и кодах, применяемых на Объекте. СТРОГО КОНФИДЕНЦИАЛЬНО 7.5. СТРОГО КОНФИДЕНЦИАЛЬНО 8. ПРОЧИЕ СВЕДЕНИЯ 8.1. Сведения о планируемых рекламных акциях; КОНФИДЕНЦИАЛЬНО 8.2. сведения о взаимоотношениях Объекта с государственными структурами; КОНФИДЕНЦИАЛЬНО 8.3. сведения об интеллектуальном потенциале ведущих специалистов Объекта, их моральных и деловых качествах, наличии финансовых и моральных проблем, биографические и персональные данные; КОНФИДЕНЦИАЛЬНО 8.4. сведения о взаимоотношениях ведущих специалистов и должностных лиц с высокими полномочиями с КОНФИДЕНЦИАЛЬНО руководством Объекта; 8.5. сведения о возможных противоречиях (конфликтах) внутри коллектива, их конкретных участниках, мотивах их действий, поступков. КОНФИДЕНЦИАЛЬНО Примечание: Примерный перечень сведений, составляющих служебную или коммерческую тайну организации: - - Сведения о структуре и масштабах производства, производственных мощностях, типе и размещении оборудования, запасах сырья, материалов, комплектующих и готовой продукции. Сведения о применяемых оригинальных методах управления организацией. Сведения о подготовке, принятии и исполнении отдельных решений руководства организации по коммерческим, организационным, научно-техническим и иным вопросам. www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет - - - - - - - - - 29 Сведения о планах расширения или свертывания производства различных видов продукции и их технико-экономических обоснованиях. Также сведения о планах инвестиций, закупок и продаж. Сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления организации. Сведения о кругообороте средств организации, финансовых операциях, состоянии банковских счетов организации и проводимых операциях, об уровне доходов организации, о состоянии кредита организации (пассивы и активы). Главная книга организации. Сведения о применяемых организацией оригинальных методах изучения рынка (маркетинга). Сведения о результатах изучения рынка, содержащие оценки состояния и перспектив развития рыночной коньюктуры. Сведения о рыночной стратегии организации, о применяемых организацией оригинальных методах осуществления продаж, об эффективности служебной или коммерческой деятельности организации. Обобщенные сведения о внутренних и зарубежных заказчиках, подрядчиках, поставщиках, потребителях, покупателях, компаньонах, спонсорах, посредниках, клиентах и других партнерах, состоящих в деловых отношениях с организацией. Обобщенные сведения о внутренних и зарубежных компаниях как потенциальных конкурентах в деятельности организации, оценке качества деловых отношений с конкурирующими компаниями в различных сферах деловой активности. Сведения о подготовке, проведении и результатах переговоров с деловыми партнерами организации. Сведения об условиях конфиденциальности, из которых можно установить порядок соглашения и другие обязательства организации с партнерами (клиентами, контрагентами). Сведения о методах расчета, структуре, уровне реальных цен на продукцию и размеры скидок. Сведения о подготовке к участию в торгах и аукционах, результатах приобретения или продажи на них товаров. Сведения о целях, задачах, программах перспективных научных исследований. Ключевые идеи научных разработок, точные значения конструкционных характеристик, создаваемых изделий и оптимальных параметров разрабатываемых технологических процессов (размеры, объемы, конфигурация, процентное содержание компонентов, температура, давление, время и т. д.). Аналитические и графические зависимости, отражающие найденные закономерности и взаимосвязи, данные об условиях экспериментов и оборудовании, на котором они проводились. Сведения о материалах, из которых изготовлены отдельные детали, об особенностях конструкторско-технологического, художественно-технического решения изделия, дающие положительный экономический эффект. Сведения о методах защиты от подделки товарных и фирменных знаков, о состоянии парка ПЭВМ и программного обеспечения. Сведения об особенностях используемых и разрабатываемых технологий и специфике их применения, об условиях их производства и транспортировке продукции. Сведения о порядке и состоянии организации защиты служебной или коммерческой тайны, о порядке и состоянии организации охраны, системы сигнализации, пропускном режиме. Сведения, составляющие служебную или коммерческую тайну организаций, компаний-партнеров и передаваемые ими в пользование на доверительной основе. www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 30 Приложение Б. Номенклатура должностей работников, допускаемых к сведениям, составляющих коммерческую тайну СОГЛАСОВАНО УТВЕРЖДАЮ _________ _________ ________________ ___________ _______________ __________ (Ф.И.О.) подпись (Ф.И.О.) подпись “______”___________20__г. “______”___________20__г. НОМЕНКЛАТУРА ДОЛЖНОСТЕЙ РАБОТНИКОВ _________, ДОПУСКАЕМЫХ К СВЕДЕНИЯМ, СОСТАВЛЯЮЩИМ КОММЕРЧЕСКУЮ ТАЙНУ (вариант) №п/п Структурное подразделение Должность Необходимость и объем полномочий по доступу к сведениям, составляющим коммерческую тайну 1 2 3 45 5 Примечание 5 в графе 4 кратко отражаются характер документов или выполняемых работ и степень их конфиденциальности со ссылкой на конкретный пункт Перечня (см Приложение А) www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 31 Приложение В. Форма журнала регистрации инцидентов ЖУРНАЛ (вариант) РЕГИСТРАЦИИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНЦИДЕНТ № <ID нарушения в СИСТЕМЕ> Дата и время инцидента <зафиксированная СИСТЕМОЙ>. Конфиденциально Экз. № _________ Администратор безопасности, зафиксировавший инцидент <ФИО из формы настройки пользователя при регистрации в СИСТЕМЕ> 1. ОПИСАНИЕ ИНЦИДЕНТА 1.1. <КТО:> Сотрудник(-и), связанный с инцидентом <ФИО , имя компьютера>. Структурное подразделение сотрудника(-ов). 1.2. <ЧТО: > - Тип переданной конфиденциальной информации <Тип правила, степень опасности>. - Содержание сработавшего Правила <содержание> - Информация, переданная за пределы Компании <наименование файла, извлеченный текст, которая система определила как нарушение> 1.3. <КАК: > Канал, использованный для передачи документа <канал >. 1.4. <ИСТОЧНИК: > IP, MAC - адреса компьютера нарушителя 1.5. <КУДА: > Получатель информации <получатель> 1.6. <КОГДА: > www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 32 Время передачи информации за пределы сети <время перехвата> Время обнаружения < системное время раб.станции, с которой формируется отчет> Время уведомления уполномоченного руководителя <время отправления отчета по почте> 2. .ХОД РАССЛЕДОВАНИЯ ИНЦИДЕНТА Действия, предпринятые в рамках расследования нарушения: < сбор и анализ 2.1. дополнительных сведений, таких как журналы аудита рабочей станции, журналы доступа в помещения, текущий круг функциональных обязанностей пользователя, осуществившего утечку защищаемой информации, а также других сведений, необходимых для выявления лиц, связанных с инцидентом, их мотивов и совершенных ими действий"> Дополнительные сведения, полученные в рамках расследования: 2.2. <Таблица 1. "Устойчивые нарушения" с ID событий из БД, временем перехвата, получателями, сгруппированными по названию правил которые сработали для данного нарушителя > <Таблица 2. "Устойчивые маршруты" с ID событий из БД, временем перехвата, названию правил, которые сработали для данного нарушителя, сгруппированными по получателям> 2.3. Описание сценария нарушения <текст> 2.4. Отправитель имеет право доступа/не имеет к переданной информации, 2.5. Получатель имеет право получать/не имеет право получать переданную информацию. 3. РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ 3.1. Выводы о причинах нарушения, составленные по результатам расследования № Тип нарушителя 1 халатный 2 манипулируемый 3 саботажник 4 нелояльный 5 внедренный 6 любопытный 7 другое www.trafica.ru Да/Нет Monitirum 1.7. Методика по расследованию утечек информации через Интернет 3.2. Последствия, к которым нарушение может привести и их степень их тяжести № 1 33 Тип нарушения Да/Нет Степень тяжести Утечка информации, представляющей (служебную, врачебную, адвокатскую тайну, персональные данные) 2 Распространение ложной, неприемлемой информации от имени компании 3 Нецелевое использование корпоративных ресурсов, ведущее к прямым и косвенным финансовым потерям 4 3.3. Другое Мероприятия, предлагаемые в качестве реакции на нарушение. <текст> Подпись администратора безопасности / Расшифровка подписи <ФИО из формы настройки пользователя при регистрации в СИСТЕМЕ> www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 34 Приложение Г. Типовой регламент работы администратора безопасности ТИПОВОЙ РЕГЛАМЕНТ работы администратора безопасности системы контроля утечек конфиденциальной информации 1 НАЗНАЧЕНИЕ Данный документ описывает порядок деятельности администратора безопасности по автоматическому мониторингу исходящих сообщений, передаваемых пользователями ЛВС Компании за ее пределы, а также регистрации и расследования инцидентов информационной безопасности, связанных с утечкой конфиденциальной информации которые зафиксированы с помощью программного комплекса Monitorium. 2 ОБЛАСТЬ ПРИМЕНЕНИЯ Положения настоящего документа обязательны для ознакомления и соблюдения со стороны администратора безопасности программного комплекса Monitorium (далее – Система). 3 ОТВЕТСТВЕННОСТЬ Администратор безопасности Системы отвечает за: мониторинг и оперативное выявление фактов нарушений при пересылке конфиденциальной информации через Интернет, зафиксированных с помощью Системы; сбор и хранение данных по инцидентам информационной безопасности, зафиксированных Системой; своевременное инициирование и непосредственное участие в мероприятиях по расследованию выявленных Системой инцидентов информационной безопасности. 4 ОПИСАНИЕ ВИДОВ ДЕЯТЕЛЬНОСТИ 4.1. Выявление конфиденциальной информации в сообщениях, передаваемых за пределы Компании, осуществляется администратором безопасности за счет www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 35 постоянного мониторинга сохраненных копий исходящих сообщений, проверка которых со стороны технических средств Системы показала наличие в них нарушений. Проверка архива НАРУШЕНИЙ осуществляется администратором безопасности не реже двух раз в течение рабочего дня. 4.2. Сообщения с признаками нарушения режима информационной безопасности, помещенные Системой в архив НАРУШЕНИЙ, подвергаются первоначальному анализу со стороны администратора безопасности с целью подтверждения наличия в них конфиденциальной информации. 4.3. Если в результате проведенного анализа факт наличия в сообщениях конфиденциальной информации не подтверждается, то действий по в конфиденциальной расследованию не предпринимается. 4.4. В случае подтверждения наличия сообщениях информации, администратор безопасности осуществляет дополнительный сбор сведений о сообщении: отправитель, степень конфиденциальности, канал передачи, получатель и другие сведения. 4.5. Сведения о сообщении с признаками нарушения режима информационной безопасности, а также собранные дополнительные сведения передаются администратором безопасности своему уполномоченному руководителю, который выносит решение о серьезности зафиксированного инцидента. 4.6. В случае принятия руководителем администратора безопасности решения о возникновении серьезного инцидента, способного нанести существенный ущерб интересам и деятельности компании и, соответственно, необходимости проведения соответствующего расследования, администратор безопасности принимает в нем непосредственное участие. При этом он выполняет сбор и анализ дополнительных сведений, таких как журналы аудита рабочей станции, журналы доступа в помещения, текущий круг функциональных обязанностей пользователя, осуществившего утечку конфиденциальной информации, а также других сведений, необходимых для выявления лиц, связанных с инцидентом, их мотивов и совершенных ими действий. www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 4.7. 36 Все собранные в процессе расследования сведения заносятся в журнал регистрации инцидентов информационной безопасности. Рекомендованная форма Журнала регистрации: см Приложение Б 4.8. По завершению расследования инцидента информационной безопасности вся информация о ходе расследования, выполненных действиях и собранных свидетельствах оформляется администратором безопасности в виде отчета. Составленный отчет соответствующими используется службами для руководством принятия решения Компании о и применении дисциплинарных мер в отношении связанных с инцидентом лиц или иных мер, предусмотренных законодательством Российской Федерации. www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 37 Вариант формы титульного листа отчета: ОТЧЕТ О РЕЗУЛЬТАТАХ РАССЛЕДОВАНИЯ ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Конфиденциально Экз. № ___ ОТЧЕТ № РАССЛЕДОВАНИЕ ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПО УТЕЧКЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ СОСТАВИЛ: ДАТА: www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 38 Вариант формы основного листа отчета. ОТЧЕТ О РЕЗУЛЬТАТАХ РАССЛЕДОВАНИЯ ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Конфиденциально Экз. № ___ ОПИСАНИЕ ИНЦИДЕНТА 1. Регистрационный номер инцидента в журнале регистрации инцидентов. 2. Время и дата инцидента. 3. Сотрудники, связанные с инцидентом. 4. Информация, переданная за пределы Компании. 5. Дополнительные сведения. РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ 1. Выводы о причинах инцидента, составленные по результатам расследования. 2. Мероприятия, предлагаемые в качестве реакции на инцидент. Подпись администратора безопасности / Расшифровка подпиcи www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 39 Приложение Д. Каналы, используемые внутренними нарушителями. Классификация внутренних нарушителей Каналы, используемые внутренними нарушителями: 1. Пересылка по электронной почте 2. Использование доступа в Интернет (web-mail, блоги, мессенджеры, социальные ресурсы, передача файлов по ftp) 3. Печать и вынос твердой копии 4. Копирование на сменные носители Классификация внутренних нарушителей (источник: www.wikisec.ru/index.php?title=Нарушитель_правил_разграничения_доступа). При расследовании инцидентов информационной безопасности с использованием СИСТЕМЫ предлагается модель нарушителя6 (см. Таблица 3): 1. тип нарушителя; 2. цели, которые могут преследовать нарушители каждого типа; 3. типовые сценарии возможных действий нарушителей. При действиях нарушителей учитывается: 1. Умысел (специально или по неосторожности), 2. Корысть (была ли цель получения выгоды), 3. Постановка задач (кто разработал план действий, и был ли он), 4. Действия, при невозможности совершить нарушение. Таблица 3. Модель нарушителя Тип Нарушителя Умысел Корысть Постановка задачи Действия при невозможности совершить нарушение Сообщение Халатный Нет Нет Нет соответствующим службам 6 www.wikisec.ru/index.php?title=Нарушитель_правил_разграничения_доступа www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет Тип Нарушителя Манипулируемый Умысел Нет Корысть Нет 40 Действия при Постановка задачи Нет невозможности совершить нарушение -«Отказ /Имитация Обиженный Да Нет Сам (производственной необходимости) Нелояльный Да Нет Сам Имитация Да Да Сам\Извне Отказ/Имитация/Взлом Внедренный Да Да Сам\Извне Взлом Любопытный Нет Нет Нет Взлом Подрабатывающий кражей информации А. Неосторожные (халатные) Тип нарушителя: представляет собой лояльного, но невнимательного или халатного сотрудника, который может нарушить политику информационной безопасности компании изза ее незнания или забывчивости. Цели: нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений, работая дополнительно вне рабочего места. Типовые сценарии: - отправить письмо по электронной почте на личный почтовый ящик веб-почты с конфиденциальной информацией чтобы поработать с ней на выходных; - по ошибке отправить письмо по электронной почте с приложенным секретным файлом лицу, для которого оно не предназначено; - взять домой usb-носитель с конфиденциальной информацией, чтобы поработать с ней на выходных, и потерять его; - дать доступ членам семьи к usb-носителю либо к служебному ноутбуку с конфиденциальной информацией. www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 41 Б. Манипулируемые Тип нарушителя: лояльный, но небдительный сотрудник, которого средствами социальной инженерии заставляют передать конфиденциальную информацию. Цели: нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений, оказывая услугу манипулятору. Типовые сценарии: - секретарь может по просьбе злоумышленника «для надежности» продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик; - сотрудник, начальник которого являясь злоумышленником, отдает сотруднику приказ отправить в ненадлежащее место конфиденциальную информацию. В. Саботажники (обиженные сотрудники) Тип нарушителя: сотрудники, стремящиеся нанести вред компании из-за личных мотивов, скрывают факт кражи информации. Цели: - нанести вред, скрывая кто является источником утечки; - заинтересовать нового работодателя, чтобы меняя работу унести собой конфиденциальную информацию; - месть, в случае обиды из-за недостаточной оценки роли в компании: недостаточный размер материальной компенсации, неподобающее место в корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, секретаря). Типовые сценарии: www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет 42 Похитить информацию (переслать по электронной почте, через веб-ресурсы, скопировать на внешние носители, распечатать) и передать, например, в прессу или теневые структуры, соответственно для оглашения или шантажа. Г. Нелояльные Тип нарушителя: временные работники либо сотрудники подыскивающие новое место работы, не скрывают факт хищения информации. Цели: - стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как ее будут использовать: - шантаж, похищенная информация используется как залог для обеспечения комфортного увольнения — с компенсацией и рекомендациями; - повысить свою оценку перед новым работодателем, например, имея на руках клиентскую базу. Типовые сценарии: Для получения доступа к информации для возможности ее скопировать, и если возможности нет имитируют производственную необходимость. Д. Нарушители, мотивированные извне Тип нарушителя: сотрудники, цель которым определяет «заказчик» хищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Цели: цели ставит заказчик «извне», в основном конкурирующий шпионаж. Типовые сценарии: www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет Имитация производственной необходимости, методы социальной инженерии для манипулирования другими сотрудниками, в случае технических ограничений на вынос информации за пределы корпоративной информационной сети «заказчик» может снабдить, соответствующими устройствами или программами для обхода защиты. Е. Любопытные Тип нарушителя: высококвалифицированные в области IT сотрудники, цель которых удовлетворение собственного тщеславия, при возможности обойти систему ограничений. Цели: - обойти всеми возможными способами, установленные ограничения для удовлетворения собственных амбиций Типовые сценарии: В любой информационной сети найдется сотрудник, который захочет знать больше, чем положено и, используя полученные знания для взлома системы защиты, с целью самоутверждения перед сотрудниками/знакомыми, предъявив полученную информацию в качестве доказательства. www.trafica.ru 43 Monitirum 1.7. Методика по расследованию утечек информации через Интернет Приложение Е. 44 Глоссарий Таблица 4 Определения предметной области Термин/Сокращение FTP Описание File Transfer Protocol — протокол, предназначенный для передачи файлов в компьютерных сетях. HTTP HyperText Transfer Protocol— «протокол передачи гипертекста» — протокол прикладного уровня передачи данных (изначально — в виде гипертекстовых документов) IMAP Internet Message Access Protocol— «Протокол доступа к электронной почте Интернета» — протокол прикладного уровня для доступа к электронной почте. Служит для работы со входящими письмами. VIP-список Список компьютеров в сети, информация от которых не будет анализироваться СИСТЕМОЙ База охраняемых документов Заранее заданные документы (например, тексты приказов, финансовых отчетов, договоров и пр.) КИВС, ЛВС Корпоративная информационно-вычислительная система Веб-интерфейс Рабочее место пользователя СИСТЕМЫ. Инструментарий пользователя, позволяющий ему выполнять операции по анализу перехваченных данных и администрированию СИСТЕМЫ на удаленном компьютере Защита информации Комплекс организационно-технических мер, по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Интернет-браузер (Веб- программное обеспечение для просмотра веб-сайтов, то обозреватель) есть для запроса веб-страниц (преимущественно из Сети), их обработки, вывода и перехода от одной страницы к другой www.trafica.ru Monitirum 1.7. Методика по расследованию утечек информации через Интернет Термин/Сокращение Инцидент 45 Описание Несанкционированная пересылка конфиденциальной информации за пределы корпоративной информационновычислительной СИСТЕМЫ организации Ключевые слова Слово (набор слов), по которым анализируется извлеченный из переданного сообщения текст Конфиденциальная информация Информация, обладающая свойством конфиденциальности, заключается в том, что ознакомление с информацией и изменение ее возможно только фиксированному и ограниченному кругу лиц из числа пользователей Перехват объектов Процесс получения, разбора по протоколам сообщения, отправленного за пределы корпоративной информационной СИСТЕМЫ через сети открытого доступа (Интернет) Пользователь корпоративной сети Сотрудник организации, использующий компьютер в рамках бизнес-процесса организации ПО Программное обеспечение Событие В рамках документа под событиями понимаются перехваченные на основании правил сообщения, передаваемые по протоколам SMTP, HTTP, OSCAR, FTP Социальная инженерия Процесс манипуляции людьми или определенным человеком (личностью) с целью получения от этих людей или конкретного человека доступа к конфиденциальной информации или разглашения этой информации. Хост Хост - любая единица компьютерной техники, которая подключена к компьютерной сети www.trafica.ru