О ВНУТРЕННИХ УГРОЗАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
О ВНУТРЕННИХ УГРОЗАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Научная статья
ORCID: 0000-0002-6765-1890,
ФГБОУ ВО Петербургский государственный университет путей сообщения Императора Александра I,
Санкт-Петербург, Россия
* Корреспондирующий автор (isaeva.mf[at]gmail.com)
АннотацияВ данной статье рассматриваются угрозы, которые могут привести к нарушению основных свойств информации – конфиденциальности, целостности и доступности. Рассмотрены и классифицированы организационные и технологические меры для предотвращения инсайдерских (внутренних) угроз информационной безопасности. Рассмотрены меры, использующиеся при управлении информационной безопасностью, по противодействию внутренним угрозам на каждом этапе их действия - «предотвращение», «обнаружение» и «реагирование» на возникшую угрозу.
Ключевые слова: внутренние угрозы информационной безопасности, инсайдер, управление информационной безопасностью.
ON INTERNAL INFORMATION SECURITY THREATS
Research article
Isaeva M.F. *
ORCID: 0000-0002-6765-1890,
FSBEI of HE Emperor Alexander I St. Petersburg State Transport University, St. Petersburg, Russia
* Corresponding author (isaeva.mf[at]gmail.com)
AbstractThis article discusses the threats that may violate the basic properties of information – confidentiality, integrity, and availability. Organizational and technological measures to prevent insider (internal) threats to information security are reviewed and classified as well. The measures used in the management of information security to counter the internal threats at each stage of their action – prevention, detection, and response to the emerging threat are also considered in the paper.
Keywords: internal information security threats, insider, information security management.
Современные организации используют информационные системы для хранения, обработки и распространения ценных информационных активов. Какие именно информационные активы считаются ценными зависит от организации, но примерами являются стратегическая информация и интеллектуальная собственность, которые дают организации конкурентное преимущество.
Поэтому информационные системы, содержащие эту информацию, сталкиваются с различными угрозами, исходящими как извне, так и изнутри [8]. Так называемые агенты угроз порождают угрозы, использующие уязвимости в информационных системах и/или мерах информационной безопасности. Эти меры вводятся организациями с целью снижения риска для безопасности информации, которая считается для них наиболее ценной [9].
Целью данной работы является изучение проблемы обнаружения внутренних угроз информационной безопасности и противодействия им. Для достижения поставленной цели необходимо решить следующие задачи: изучить существующую информацию о внутренних угрозах, выявить к чему может привести наличие внутренних угроз, каким образом осуществляется противодействие внутренним угрозам.
Нарушение безопасности может привести к несанкционированному разглашению, изменению или повреждению информации. Эти три примера относятся к трем свойствам информационной безопасности, которые обычно называются конфиденциальностью, целостностью и доступностью:
- Конфиденциальность означает, что информация доступна по принципу служебной необходимости, и что несанкционированный доступ предотвращен.
- Целостность означает, что информация не была изменена или повреждена неправомочно, либо случайно, либо намеренно.
- Доступность гарантирует, что информация готова к законному использованию, когда она требуется, и что она будет поддерживать способность организации функционировать и достигать своих целей.
Несмотря на то, что меры по устранению угроз для конфиденциальности, целостности или доступности информации могут варьироваться для разных организаций и определяется основной миссией, целями и процессом деятельности организации, на передний план выходят внутренние угрозы информационной безопасности [4].
Внутренние (инсайдерские угрозы) информационной безопасности – это угрозы, которые исходят от штатных работников организации [10] и работников, работающих по подряду. Внутренние угрозы информационной безопасности сложнее поддаются решению, чем технические угрозы. Для их решения требуется сочетание социологических и социально-технических методов [3]. Люди демонстрируют изменчивое поведение, могут скрывать свои истинные эмоции и намерения от окружающих, как правило, меняют своё поведение в зависимости от изменения ситуации [2]. В имеющейся литературе многие авторы подчеркивают, что информационная безопасность – это не только вопрос технических средств контроля или мер. Информационная безопасность включает в себя людей, организационные факторы, технологии и рабочую обстановку. Чтобы учесть все эти аспекты обнаружение инсайдеров должно осуществляться путем внедрения комплекса организационных и технологических мер [1], [5], [11]:
- Технический контроль включает механизмы защиты информационных систем от атак или инцидентов. Например, антивирусное программное обеспечение, контроль доступа, резервное копирование, восстановление и аудит программного обеспечения.
- Формальный контроль включает в себя бизнес-структуры и процессы, которые обеспечивают правильное общее ведение бизнеса и снижают вероятность инцидента или атаки или, по крайней мере, сводят к минимуму его влияние. Например, отделение службы безопасности от других ИТ-отделов, правильное разделение обязанностей и, следовательно, прав доступа и привилегий, разработка и контроль соответствующих отношений между сотрудником и руководителем, регулярные оценки рисков и т. д.
- Неформальный контроль в основном касается культуры, ценностей и убеждений в организации. Организационная культура, в рамках которой можно понять намерения руководства, а также способствующая выработке единого мнения и других неофициальных целей, позволит членам организации проявлять больший интерес к своей деятельности и успеху организации в целом. Неформальный контроль может создаваться, например, путем повышения осведомленности о проблемах безопасности посредством образовательных и учебных программ.
Многие меры, направленные на обнаружение инсайдерских угроз, развиваются под влиянием подходов, которые используются для обнаружения внешних угроз. Широко используются подходы, разработанные для обнаружения вторжений, в том числе мониторинг сети организации [6]. Тем не менее, эти подходы не всегда эффективны для обнаружения внутренних угроз и могут давать большое количество ложно положительных результатов [13]. Таким образом, эти подходы имеют ограниченное применение при обнаружении инсайдерских угроз. В том числе, системы обнаружения вторжений используют сигнатуры атак и не могут обнаружить действия, которые не оставляют записи в системах журналирования.
Также меры по противодействию внутренним угрозам необходимо классифицировать на основе этапа их действия:
- Предотвращение. Меры, направленные на предотвращение возникновения внутренней угрозы, в том числе меры по прогнозированию инсайдерских атак на основе потенциальных показателей. Внутренняя политика является основой для соблюдения нормативных требований и предотвращения инсайдерских инцидентов. Политика определяет и регулирует действия и поведение персонала в организации. Однако сама по себе политика не очень полезна, если она не подкреплена последствиями. Эти последствия оказывают наибольшее воздействие на внутреннюю угрозу.
- Обнаружение. Меры, направленные на выявление наличия внутренней угрозы, если атака происходит или уже произошла. Существует несколько методов обнаружения атак извне, однако, выявлять инсайдерские действия намного сложнее. Инсайдерские действия могут обнаруживаться с помощью инструментов мониторинга и ведения журналов, а также осведомителей и приманок.
- Реагирование. Меры, применяемые для устранения внутренней угрозы после ее возникновения. Эти меры могут быть корректирующими и пресекающими, чтобы свести к минимуму последствия. Организации могут также принимать ответные меры в отношении соответствующих инсайдеров. На первый взгляд, реакция на внутреннюю угрозу кажется довольно простой: судебный процесс. Однако в действительности реакция на внутренние угрозы может быть довольно сложной. Организации, как правило, скрывают угрозу от общественности из-за боязни негативных отзывов в прессе. В тех случаях, когда реакцией были судебные иски, организации не возмещали ущерб, а наказывали соответствующих инсайдеров. Для общественности это может выглядеть так, будто организация делает все, что в ее силах, чтобы защититьсебя.
На основе вышесказанного можно сделать вывод, что несмотря на растущую потребность в методе, способном помогать выявлять инсайдерские угрозы, на данный момент отсутствует универсальный подход, способный комплексно решать проблему обнаружения внутренних угроз и противодействия им, т.к. обнаружение инсайдерской угрозы возможно только при наличии адекватной модели, которая описывает организацию, ее информационные активы и работников.
Конфликт интересов Не указан. | Conflict of Interest None declared. |
Список литературы / References
- Chinchani R. Towards a theory of insider threat assessment / Chinchani R. // International Conference In Dependable Systems and Networks. 2005. C. 108–117.
- Greitzer F.L. Modeling Human Behavior to Anticipate Insider Attacks / Greitzer F.L., Hohimer R.E. // Journal of Strategic Security. 2011. № 2 (4). C. 25–48.
- Hunker J. Insiders and insider threats—an overview of definitions and mitigation techniques / Hunker J., Probst C. // Journal of Wireless Mobile Networks, Ubiquitous …. 2011. C. 4–27.
- Insider Threat Report: 2018 - CA Technologies // CA Technologies URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018).
- Udoeyop A.W. Cyber Profiling for Insider Threat Detection / Udoeyop A.W. 2010. C. 70.
- Аникин И.В. Управление внутренними рисками информационной безопасности корпоративных информационных сетей / Аникин И.В. // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. 2009. №3 (80).
- Денис М. Ахен CMMI: Комплексный подход к совершенствованию процессов. Практическое введение в модель / Денис М. Ахен, А. Клауз, Р. Тернер. — М: «МФК», 2005, 300 с. ISBN 5-85389-082-4.
- Поляничко М.А. Модель среды возникновения инсайдерской угрозы / Поляничко М.А. // Естественные и технические науки. 2018. - №12., Выпуск (126). - 2018 - с. 449 - 453.
- Поляничко М.А. Модель зрелости процессов противодействия внутренним угрозам / Поляничко М.А. // Естественные и технические науки. 2018. - №11., Выпуск (125). - 2018 - с. 452 - 456.
- Поляничко М.А. Предметно-ориентированная онтология представления инсайдерской угрозы / Поляничко М.А. // Естественные и технические науки. 2018. - №12., Выпуск (126). - 2018 - с. 453 - 458.
- Поляничко М.А. Использование технических индикаторов для выявления инсайдерских угроз / Поляничко М.А. // Кибернетика и программирование. — 2018. - № 6. - С.40-47. DOI: 10.25136/2306-4196.2018.6.27970. URL: http://e-notabene.ru/kp/articlehtml.
- Поляничко М.А., Королев А.И. Подход к выявлению инсайдерских угроз в организации / Поляничко М.А. // Естественные и технические науки. 2018. - №9., Выпуск (123). - 2018 - с. 152 - 154.
- Ветлугин К.А. Использование структурно-логического моделирования при оценке риска информационной безопасности и анализе защищенности и надёжности автоматизированных систем управления производственными и технологическими процессами на объектах, представляющих опасность для жизни и здоровья людей / Ветлугин К.А., Исаева М.Ф. // Интернет-журнал «НАУКОВЕДЕНИЕ» Том 9, №3 (2017) http://naukovedenie.ru/PDF/18TVNpdf
- Исаева М.Ф. Проблемы обеспечения целостности информации в гетерогенных распределенных источниках данных. Региональная информатика и информационная безопасность / Исаева М.Ф., Глухарев М.Л. //. Сборник трудов. Выпуск 2 / СПОИСУ. – СПб, 2016. – с.344-346
Список литературы на английском языке / References in English
- Chinchani R. Towards a theory of insider threat assessment / Chinchani R. // International Conference In Dependable Systems and Networks. 2005. C. 108–117.
- Greitzer F.L. Modeling Human Behavior to Anticipate Insider Attacks / Greitzer F.L., Hohimer R.E. // Journal of Strategic Security. 2011. № 2 (4). C. 25–48.
- Hunker J. Insiders and insider threats—an overview of definitions and mitigation techniques / Hunker J., Probst C. // Journal of Wireless Mobile Networks, Ubiquitous …. 2011. C. 4–27.
- Insider Threat Report: 2018 - CA Technologies // CA Technologies URL: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf (дата обращения: 18.07.2018).
- Udoeyop A.W. Cyber Profiling for Insider Threat Detection / Udoeyop A.W. 2010. C. 70
- Anikin I.V. Upravlenie vnutrennimi riskami informacionnoj bezopasnosti korporativnyh informacionnyh setej [Management of internal risks of information security of corporate information networks] / Anikin I.V. // Nauchno-tekhnicheskie vedomosti SPbGPU. Informatika. Telekommunikacii. Upravlenie. [Scientific and technical statements of SPbPU. Computer science. Telecommunications. Control.] 2009. №3 (80). [in Russian]
- Denis M. Ahen CMMI: Kompleksnyj podhod k sovershenstvovaniyu processov. Prakticheskoe vvedenie v model'. [An integrated approach to process improvement. Practical introduction to the model] / Denis M. Ahen, A. Klauz, R. Terner — M: «MFK», 2005, 300 P. ISBN 5-85389-082-4. [in Russian]
- Polyanichko M.A. Model' sredy vozniknoveniya insajderskoj ugrozy [Insider Threat Environment Model] / Polyanichko M.A. // Estestvennye i tekhnicheskie nauki [Natural and Technical Sciences] - №12., Instalment (126). - 2018 - P. 449 - 453. [in Russian]
- Polyanichko M.A. Model' zrelosti processov protivodejstviya vnutrennim ugrozam [The maturity model of the process of countering internal threats] // Estestvennye i tekhnicheskie nauki [Natural and Technical Sciences] . 2018. - №11., Instalment (125). - 2018 - P. 452 - 456. [in Russian]
- Polyanichko M.A. Predmetno-orientirovannaya ontologiya predstavleniya insajderskoj ugrozy [Domain-specific ontology of the insider threat presentation] / Polyanichko M.A. // Estestvennye i tekhnicheskie nauki [Natural and Technical Sciences]. 2018. - №12., Instalment (126). - 2018 - P. 453 - 458. [in Russian]
- Polyanichko M.A. Ispol'zovanie tekhnicheskih indikatorov dlya vyyavleniya insajderskih ugroz [Using of technical indicators to identify insider threats] / Polyanichko M.A. // Kibernetika i programmirovanie. [Cybernetics and programming] — 2018. - № 6. - S.40-47. DOI: 10.25136/2306-4196.2018.6.27970. URL: http://e-notabene.ru/kp/article_27970.html. [in Russian]
- Polyanichko M.A. Podhod k vyyavleniyu insajderskih ugroz v organizacii [An approach to identifying insider threats in an organization] / Polyanichko M.A.,Korolev A.I. // Estestvennye i tekhnicheskie nauki. [Natural and Technical Sciences] 2018. - №9., Instalment (123). - 2018 - P. 152 - 154. [in Russian]
- Vetlugin K.A. Ispol'zovanie strukturno-logicheskogo modelirovaniya pri ocenke riska informacionnoj bezopasnosti i analize zashchishchennosti i nadyozhnosti avtomatizirovannyh sistem upravleniya proizvodstvennymi i tekhnologicheskimi processami na ob"ektah, predstavlyayushchih opasnost' dlya zhizni i zdorov'ya lyudej [Using structural-logical modeling in the risk assessment of information security, in security and reliability analysis of automated control systems of production and technological processes on the objects presenting danger to life and health of people] / Vetlugin K.A., Isaeva M.F. // Internet-magazine «NAUKOVEDENIE» Volume 9, №3 (2017) http://naukovedenie.ru/PDF/18TVN317.pdf [in Russian]
- Isaeva M.F. Problemy obespecheniya celostnosti informacii v geterogennyh raspredelennyh istochnikah dannyh. [Problems of ensuring the integrity of information in heterogeneous distributed data sources] / Isaeva M.F., Gluharev M.L. // Regional'naya informatika i informacionnaya bezopasnost'. Sbornik trudov. [Regional informatics and information security. Collected Works] Instalment 2 / SPOISU. – SPb, 2016. – p.344-346