Модель автоматизованої системи малого підприємства, захищеної від інсайдерів

В області інформаційної безпеки найбільшу увагу організації приділяють, як правило, захисту від зовнішніх атак та конкурентної розвідки.

З цієї причини майже всі кошти, що виділяються на забезпечення безпеки, спрямовуються на захист вразливих точок периметра мережі підприємства. Ситуація, що склалася, знайшла відповідне відображення і на ринку продуктів інформаційної безпеки — останніми роками пропонується широкий спектр різних засобів захисту від вірусів, хробаків, троянських програм та інших загроз ззовні.

Проте, поступово керівники підприємств починають усвідомлювати нову небезпеку. Вона надходить не від хакерів, спаму або випадкових вірусів, а від власних співробітників. Інсайдери знаходяться всередині самої організації і наділені цілком легальними повноваженнями, тому їм набагато простіше отримати доступ до необхідної інформації, ніж будь-якому зловмисникові ззовні.

Відстежити випадки таких порушень політики безпеки теж набагато складніше, оскільки не відбувається несанкціонованого проникнення до автоматизованої системи. За статистикою останніх років, до 30% порушень політики безпеки відбувається внаслідок зловживань службовим становищем і повноваженнями або халатного відношення з боку працівників організації, і ще 30% порушень заподіюються колишніми працівниками підприємств [1].

Під автоматизованою системою малого підприємства автори розуміють комп’ютерну мережу, що складається з декількох автоматизованих робочих місць користувачів та комп’ютера адміністратора безпеки, який виконує функції сервера. До складу мережі також можуть входити комп’ютери керівників підприємства. Можливо також, що фунції адміністратора безпеки виконує один з керівників малого підприємства.

Найбільш вразливе для инсайдерів місце в такій системі — USB порти, оскільки через них можна скопіювати інформацію на різні переносні пристрої: флеш-карти, мобільні телефони, фотоапарати, плеєри тощо. Також певну загрозу представляють пристрої читання CD та DVD дисків, що підтримують функцію запису. Комерційні продукти, покликані вирішити цю проблему, зазвичай являють собою програмне забезпечення, яке надає можливість обмежувати і контролювати доступ до портів USBі дискових пристроїв. Вартість таких програм може сягати 500 у.о. [2]

Запропонована модель захищеної мережі малого підприємства передбачає замість використання програмних засобів розмежування доступу до USB портів і дискових пристроїв їхню фізичну відсутність. Авторами пропонується не обладнувати автоматизовані робочі місця користувачів системи пристроями читання дисків, а USB порти відключати від материнської плати. Якщо фізичне відключення неможливе, відсутність доступу до портів пропонується забезбечити засобами BIOS, доступ до налаштувань якого має захищатися паролем [3].

Модель, запропонована авторами, передбачає наявність робочих портів USB і пристроїв читання CD та DVD дисків на машинах керівного складу та/або адміністратора безпеки. Таким чином, згідно з моделлю, запис інформації з мережі на зовнішні пристрої і її зчитування з них відбувається під контролем відповідальних осіб. Ризик витоку інформації описаним шляхом мінімізується.

В результаті, запропонована модель дозволяє економити кошти підприємства, по-перше, на пристроях читання CD та DVD дисків і, по-друге, на програмному забезпеченні, яке використовується для розмежування доступу до цих пристроїв і портів USB. Надійність запропонованого методу забезпечується фізичним відключенням потенційно небезпечних пристроїв та портів.

ЛІТЕРАТУРА:
[1] Скиба В. Ю. Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности. — СПб.: Питер, 2008. — 320 с
[2] А.В Соколов, В.Ф. Шаньгин. Защита информации в распределенных корпоративных сетях и системах. М.:ДМК Пресс – 2002, 656стр.
[3] В. Белунцов — Настройка BIOS. Практическое руководство Серия: Гарантированный результат Издательство: ТехБук, 2004 г.