Читаем Обеспечение информационной безопасности бизнеса полностью

Как было отмечено выше, одной из серьезных угроз от персонала является угроза утечки служебной информации. Подобные инциденты часто на слуху из-за широкого круга затронутых лиц. Утечки конфиденциальной информации облегчаются существованием многочисленных каналов, доступных почти каждому сотруднику организации и связывающих корпоративные сети организаций с Интернетом (к их числу относятся месседжеры, электронная почта), распространением съемных носителей информации большого объема, легко подключаемых почти к любому компьютеру, а также распространением беспроводных сетей.

В последнее десятилетие быстро сформировался отдельный сегмент рынка соответствующих специализированных защитных мер — систем защиты от утечек, DLP. Данные средства ориентированы на выявление и блокирование ситуаций утечки конфиденциальной информации по каналам связи. Участники рынка активно продвигают такие средства под флагом «борьбы» с инсайдерами, с внутренними угрозами ИБ. При том что прогресс в развитии подобных технических средств можно оценить только положительно, необходимо помнить, что только комплексный подход (см. выше) позволит решить проблему. Угрозы от персонала не исчерпываются одними лишь утечками, другие угрозы являются не менее опасными и редкими. В то же время фактически происходящие утечки информации не ограничены каналами, контролируемыми посредством защитных мер DLP (чего стоит только устно передаваемая служебная информация), а эффективное применение DLP требует серьезных организационных политик в области классификации информации и в области управления оборотом служебной информации.

Это лишь один из инструментов, который поодиночке не позволит решить задачу в целом. Кроме того, такие средства требуют тщательной настройки с периодической актуализацией настроек.

Инцидент, в котором замешан сотрудник организации, для большинства организаций — чрезвычайное происшествие. Поэтому способ организации расследования сильно зависит от сложившейся корпоративной культуры организации. Но можно уверенно сказать: важно продумать заранее и зафиксировать организационные политики по расследованию таких инцидентов, включая состав и основные роли участников расследования, условия предоставления и объем чрезвычайных полномочий по получению информации при расследовании, возможные меры в отношении сотрудников, причастных к инциденту.

Расследование выявленного инцидента — информационный процесс, один из этапов реагирования на инцидент. Сбор и документирование информации об инциденте целесообразно начинать уже с момента его обнаружения, а желательно еще раньше — при выявлении предвестников инцидента.

Целями расследования обычно являются:

— восстановление хода инцидента;

— выявление участников инцидента (в том числе из числа сотрудников) и их ролей в ходе инцидента;

— сбор свидетельств и предварительная оценка степени вины сотрудников в инциденте;

— сбор юридически значимых материалов, пригодных для инициирования процедур, обеспечивающих привлечение виновных лиц к ответственности;

— выявление причин и условий инцидента, включая недостатки системы защиты организации, формирование предложений по совершенствованию системы защиты;

— сбор свидетельств и оценка негативных последствий инцидента.

Для успешного расследования крайне важно наличие механизмов регистрации действий сотрудников в расследуемой сфере деятельности.

Отметим, что определение вины сотрудника может быть весьма сложной задачей при проведении внутреннего расследования, поскольку обосновывающие умысел факты часто отсутствуют. К подобным фактам можно отнести:

— неоднократность инцидентов, связанных с сотрудником;

— подтвержденная заинтересованность сотрудника в последствиях инцидента;

— попытки сокрытия сотрудником следов своих действий, связанных с инцидентом;

— наличие следов заблаговременной подготовки сотрудника к инциденту;

— высказывания сотрудника до инцидента, свидетельствующие о его мотивах и намерениях.

Обращение к правоохранительным органам может потребоваться в случае, когда есть основания в умышленном характере инцидента; есть основания для уверенности во внешней поддержке злоумышленника, причинен или мог быть причинен существенный ущерб организации или третьим лицам.

Техническая сторона действий внутреннего злоумышленника зачастую настолько выражена в инцидентах ИБ, что для проведения внутреннего расследования может потребоваться использование специализированных программных средств, позволяющих получить необходимые свидетельства с устройств хранения и обработки информации, принадлежащих организации.

Отметим, что любое внутреннее расследование, пусть и без привлечения правоохранительных органов, — всегда стресс для коллектива. Среди возможных негативных последствий для организации: наказание невиновных, напряженность в коллективе, отвлечение сотрудников от работы и др.