Разработка мероприятий или системы защиты информации от внутренних нарушителей

   СОДЕРЖАНИЕ

ВВЕДЕНИЕ	3
Глава 1. АНАЛИТИЧЕСКАЯ ЧАСТЬ	5
1.1 Описание предприятия	5
1.2 Анализ объекта исследования	10
1.3 Модель угроз и модель нарушителя	15
Глава 2. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ	22
2.1 Внутренние и внешние угрозы	22
2.2 Методы и средства защиты от внутренних угроз	27
2.3 Анализ рынка программно-аппаратных средств ИТ-безопасности	37
Глава 3. ПРАКТИЧЕСКАЯ ЧАСТЬ	48
3.1 Разработка системы защиты информации от внутренних угроз на примере предприятия «Связной-Логистика»	48
3.1.1 Организация двухфакторной аутентификации	48
3.1.2 Выбор DLP-системы для внедрения на предприятии ЗАО «Связной-Логистика»	51
3.2 Внедрение DLP-системы	55
3.3 Экономическая эффективность использования DLP-системы	61
ЗАКЛЮЧЕНИЕ	64

   
   
   
   
   
   
   
   
   
     ВВЕДЕНИЕ
     В наше время, информация стала одним из самых ценных ресурсов поэтому сейчас компании стали серьёзно подходить к вопросам защиты информации. На предприятиях создаются отделы по защите информации, разрабатываются  политики безопасности, внедряют разнообразные средства защиты. Однако, даже при наличии надежной защиты внешних нарушителей, остается возможность утечки конфиденциальной информации по обычным каналам передачи данных, часто использующихся сотрудниками фирмы, такие как: электронная почта, Интернет, съемные носители информации и т.п умышленно или в результате халатности и ошибок сотрудников. Именно такие утечки являются наиболее частыми на предприятиях, не использующих специализированные системы защиты от утечки информации.
     Абсолютно на каждом предприятии обрабатывается информация, которая является конфиденциальной. Особенно это касается организаций, чья деятельность связана с работой с платежными системами, коммерческой тайной, персональными данными.
     Для создания эффективной системы защиты информации от внутреннего нарушителя, необходимо внедрить такие средства защиты, контролирующие все каналы информации и предотвращающие утечку защищаемой информации.
     Дальше пишем
     Цель проведения исследования    - разработка мероприятий или системы защиты информации от внутренних нарушителей
     Объектом исследования…..
     Предметом исследования явилось …
     В своей работе я анализирую DLP-системы и внедряю двухфакторную аутентификацию пользователей, работающих с особо важной информацией на предприятии являющимся крупным ритейлером и связанным с платежными системами для предотвращения возможных утечек конфиденциальной информации.  Это в заключение перенести
     Для достижения поставленной цели в работе были поставлены и решены сл-е задачи
     Решаемые задачи:
•  анализ внутренних угроз на предприятии
•  анализ способов и методов защиты от утечек информации;
• сравнительный анализ существующих на рынке DLP-систем и выбор DLP-системы для внедрения на предприятие;
•  расчет экономической эффективности предлагаемого решения.
     В заключение Актуальность темы моей работы обусловлена тем, что утечка конфиденциальной информации может привести к возникновению серьезных репутационных, юридических и прямых финансовых рисков компании. Внедрение DLP-системы значительно снижает риски, путем своевременного обнаружения и предотвращения утечек информации, и позволяет эффективно расследовать инциденты, связанных с утечкой конфиденциальной информации и выявлять виновных.    .
         В процессе исследования были использованы нормативные документы….  и труды ведущих специалистов по вопросам безопасности…, интернет-источники при проведении маркетинга рынка….., изучении материалов периодических изданий по теме диплома.
     
   Глава 1. Характеристика производственной деятельности и системы безопасности предприятия «Связной-логистик»  Назвать эту и все главы
   1.1 Описание предприятия «Связной-логистик»  
   Связной - российская компания, федеральная розничная сеть, занимается продажами  услуг сотовых операторов и интернет-провайдеров, мобильных телефонов, планшетов, аксессуаров, портативной цифровой техники. Также компания продаёт страховые и финансовые продукты, рекламу, обзоры(проекты SVOY.ru, «Связной Радио»), туристические услуги (проект «Связной Трэвел»), осуществляет приёмом платежей (ЖКХ, штрафы, погашение кредитов через Рапиду, Qiwi платежи), осуществляет продажи как на торговых точках, так и через интернет магазин(см. Рисунок 1).
   
    
   
   Рисунок 1 –Основные виды деятельности кого
   По данным на На основе данных 1 июля 2014 года розничная сеть «Связной» владела  3200 магазинами  в 909 городах России и 84 магазинами в 24 городах Республики Беларусь. Офисы находится в Москве и других крупных городах(см. Рисунок 2). Просто (Рис.2)
   
   Рисунок 2 – Географическое присутствие кого
   
Таблица 1 – Распространенность магазинов по тексту нет ссылки
Регион
Количество городов
Количество магазинов
Россия
Северо-Запад
92
314
Центральный регион
245
965
Южный регион
115
362
Поволжье
162
535
Урал
116
444
Сибирь
123
345
Дальний Восток
59
135
Всего
912
3100
Беларусь
Беларусь
24
85
   Пишите название таблиц и рисунков законченно, как указала выше
   
   12 ноября 2014 около 90 % акций ГК «Связной» перешли к основным кредиторам — Группе ОНЭКСИМ и Группе "НПФ «Благосостояние
   Интернет-магазин «Связной» осуществляет доставку по всей России имеет пункты выдачи более чем в 35 городах.
   Деятельность «Связной» основывается на получении прибыли в результате осуществления коммерческой деятельности.
   Основные виды деятельности компании:
* Торговая и закупочная деятельность;
* Оптовая и розничная торговля товарами;
* организация сети торговых предприятий;
* логистические работы  для реализации продукции;
* экономическая деятельность(импорт и экспорт товаров)
   Уставный капитал компании составляет 2 500 000 (Два миллиона пятьсот тысяч) рублей.
   Компания имеет большое количество отделов и подотделов (см. Рисунок 3). Предприятие насчитывает штат из 5000 сотрудников офиса и 18000 розницы. 
   Сегодня ЗАО "Связной-Логистика" состоит из подразделений: ЗАО "Связной МСК", "Связной ЦР", ОАО "Связной НН", ОАО "Связной СПБ", ЗАО "Связной КЗН", ОАО "Связной Юг", ОАО "Связной Урал", ОАО "Связной Сибирь"; Данная структура позволяет предприятию успешно сотрудничать с ведущими финансовыми институтами России.
   
   Рисунок 3 – Структура предприятия ссылка по тексту, а иначе зачем нужен рисунок
   
   "Связной"  достиг европейского уровня продаж выражающийся в отличном качестве обслуживания. Направленность «Связной» целиком на повышение качества обслуживания потребителей. Что подразумевает целый комплекс маркетинговой активности - от прямой рекламы до торговых точек. «Связной» находится в лидирующих позициях по таким аспектам как: как ассортимент грамотное расположение торговых точек, уровень обслуживания клиентов.
    "Связной" старается вводить у себя всё новые услуги на рынке мобильного ритейла: в 2004 году первым начал принимать у клиентские платежи за различные виды связи(включая междугороднюю и международную связь по счетам "Ростелекома"). Запустил производство каталогов с реализуемой продукцией, выходящий ежемесячно. 
   Летом 2007 года "Связной" приобрёл сети салонов сотовой связи "МегаПлюс" и фотоуслуг "Фокус" в Белоруссии (всего 102 салона).
   Стратегия  будущего развития компании "Связной" направлена на увеличение рыночной доли, привлечения новых поставщиков, расширенность продукции, рост стоимости бренда и расширению в новые участки рынка услуг.
   





   1.2 Характеристика информации и информационных технологий предприятия «»
   Анализ объекта исследования 
   
   Рассматриваемая организация занимается банковскими услугами и розничной торговлей. Ведёт активное взаимодействие с платежными системами такими как: Rapida, Comepay, Киберплат, Yandex Деньги, Qiwi, Связной-банк и другие.  Оно включает в себя обработку, анализ и проведение платежей. 
   На предприятии используется информация содержащая сведения о финансовом и экономическом положении предприятия (бухгалтерская отчетность),  кредитах и банковских операциях, о заключаемых договорах и контрагентах, структуре капиталов и планах инвестиций, стратегических планах маркетинга, анализе конкурентоспособности собственной продукции, клиентах, планах производственного развития, деловой переписке, персональные данные сотрудников, клиентов и проч, что является коммерческой тайной.
   Персональные данные в Компании считается информация, определенная Федеральным Законом РФ от 27.07.06 №152-ФЗ «О персональных данных». В компании обрабатываются персональные данные следующих лиц:
* Сотрудников Компании, в том числе нештатных;
* Кандидатов в сотрудники Компании, в том числе  тех, которые дали своё письменное согласие на обработку их персональных данных;
* Клиентов Компании, с которыми ведутся или планируют вести договорные отношения;
* Клиентов Компании-партнёров, которые поручили Компании сбор персональных данных от собственного имени, и клиенты которые дали письменное согласие на обработку их персональных данных непосредственно Компанией;
* Физических лиц – субъектов персональных данных, для выполнения и/или заключения договора в которых стороной / поручителем  является объект персональных данных;
   Подразделение информационной безопасности является ответственным подразделением по организации и координации процессов обработки персональных данных Компании.
   Информация представляет определенную ценность для компании, разглашение тех или иных сведений может повлечь за собой угрозы экономической безопасности предприятия. 
   Информацию разделена на три группы:
* информация для открытого пользования любым потребителем в любой форме;
* информация ограниченного доступа — только для органов, имеющих соответствующие законодательно установленные права (милиция, налоговая полиция, прокуратура);
* информация только для работников (либо руководителей) фирмы.
   
    Информационные системы
   Любая автоматизированная обработка в Компании ведётся только через учтённые  и классифицированные и сертифицированные информационные системы.
   Подразделение информационной безопасности ведёт учёт информационных систем и отвечает за:
* Создание и поддерживание в актуальном состоянии перечня информационных систем Компании. Перечень включает в себя информационные системы и перечень данных подлежащих обработке с помощью них.
* Заказ разработки модели угроз для каждой информационной системы у компании, имеющей лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации.
   Любое подразделение Компании, которое желает создать изменить или отменить бизнес процесс, который затрагивает обработку данных должно согласовать этот процесс с подразделением информационной безопасности.
   Нет перехода к следующему тексту
   В Компании разрешается использовать USB при следующих условиях:
* Бизнес процесс, предусматривающий подключение USB устройства согласован с подразделением информационной безопасности УИТ и прошёл техническое тестирование в УИТ; 
* Устройство принадлежит Компании и его использование предусмотрено бизнес процессом;
* Устройство не принадлежит Компании и его использование согласовано с отделом ИБ и руководителем подразделения в котором будет работать это устройство;
* Устройство не принадлежит Компании и должно быть  подключено к компьютеру компании для осуществления бизнеса Компании;
   Организация занимает несколько офисных здании в Москве, а также есть филиалы в других крупных городах России и Беларуссии. Доступ осуществляется по пропускной системе(smart-картам).
   Каждый сотрудник имеет свое АРМ, оборудованное ПЭВМ, которая включена в локальную вычислительную сеть с единой точкой доступа в внешним сетям общего пользования, помимо этого в помещениях имеется возможность подключения к беспроводной сети предприятия.
   Для обработки платежей используется система «eKassir»
   Система eKassir позволяет принимать платежи как по прямым договорам с поставщиками услуг, так и через сторонние платежные системы, такие как CyberPlat, e-port, Кассира и любые другие.
   Система eKassir применяется для:
* оплаты мобильной связи;
* погашения кредитов;
* оплаты коммунальных услуг;
* пополнения банковских счетов и карт;
* оплаты обучения;
* оплаты штрафов;
* оплаты Интернет и коммерческого ТВ;
* продажи скретч-чеков и ПИН-кодов и др.
   Система ЕKassir состоит из терминальной и серверной частей.
   Терминальная часть ЕKassir предоставляет интерфейс для работы клиентов с терминалом, реализует обработку и пересылку вводимых данных на сервера ЕKassir-а.
   Серверная часть ЕKassir, обрабатывает платежи поступающие с терминалов.
   Для работы пользователей используются операционные: 
   Windows 7, 8 профессиональные
   Windows Server 2008 R2 Standart
   Используемые каналы связи и применяемые технологии - VPN-соединение поверх Интернет-соединения: каналы связи предоставляются различными провайдерами с применением технологий ADSL, Ethernet, GPRS. Гарантированная пропускная способность 256 Кбит/с. Средства межсетевого экранирования - Cisco ASA 5505, Cisco ASA 5585, Juniper SRX100B (см. Приложение 1)
   Все оборудование системы находится в пределах контролируемой зоны, границей которой являются ограждающие конструкции помещений ЗАО «Связной Логистика».
   Имеются чёрные и белые списки для входа в интернет. Доступ к каждому ресурсу согласовывается с отделом информационной безопасности собственным руководителем. Для предоставления доступа сотрудник должен получить согласование собственного руководителя, обосновать предоставление доступа, получить согласования у владельца папки и после одобрения отделом информационной безопасности, заявка передаётся в отдел технической поддержки офиса для предоставления/создания  доступа к этому ресурсу. 
   
   1.3 Задачи построения системы защиты информации предприятия «Св-лог» от внутренних угроз как-то так
   Модель угроз и модель нарушителя 
   В соответствии с РД ФСТЭК России источниками угроз НСД в ИС могут быть: 
* нарушитель;
* носитель вредоносной программы;
* аппаратная закладка.
   
   По наличию права постоянного или разового доступа в контролируемую зону (КЗ) информационной системы нарушители подразделяются на два типа:
* нарушители, не имеющие доступа к ИС, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;
* нарушители, имеющие доступ к ИС, включая пользователей ИС, реализующие угрозы непосредственно в ИС, – внутренние нарушители.
   
   Внешний нарушитель
     Внешними нарушителями могут быть:
* разведывательные службы государств;
* криминальные структуры;
* конкуренты (конкурирующие организации);
* недобросовестные партнеры;
* внешние субъекты (физические лица).
   
   Внутренний нарушитель
   Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к обрабатываемой информации и контролю порядка проведения работ.
   Внутренние потенциальные «Связной ….» нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к информации и представлены в Таблице «Модель нарушителя» (см. Приложение 2)
                                            
   В соответствии с технологией обработки информации в ИС в «Связной Логистика» могут существовать внутренние нарушители категорий I, II, III (осуществляющие удаленный доступ к информации только по локальным информационным системам), V, VII и VIII. Указанные категории нарушителей  учитывались при оценке возможностей реализации угроз безопасности информации.
   В ИС имеют доступ только авторизованные пользователи из числа штатных работников ЗАО «Связной Логистика». 
   Пользователями ИС являются штатные работники ЗАО «Связной Логистика», имеющие в соответствии со своими функциональными обязанностями доступ к информационным ресурсам, входящим в состав ИС
   Пользователи ИС получают доступ к обрабатываемой информации в соответствии с ролями, настроенными администраторами системы. 
   Предоставление прав доступа осуществляется на основании функциональных обязанностей, возложенных на пользователя. 
   Модель угроз
   Анализ угроз безопасности информационной системы включает:
   Составление предварительного перечня угроз, включающего их описание.
* Оценку вероятности возникновения угроз.
* Оценку реализуемости угроз.
* Оценку опасности угроз.
* Определение актуальности угроз.
   Модель угроз содержит данные по угрозам безопасности конфиденциальной информации, связанным с:
* перехватом (съемом) конфиденциальной информации по техническим каналам с целью их копирования или неправомерного распространения;
* несанкционированным, в том числе случайным, доступом в ИС с целью изменения, копирования, неправомерного распространения конфиденциальной информации или деструктивных воздействий на элементы ИС и обрабатываемых в них данных с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования. 
   Модель угроз применяется при решении следующих задач:
* анализа защищенности от угроз безопасности конфиденциальной информации в ходе организации и выполнения работ по обеспечению безопасности конфиденциальной информации;
* разработки системы защиты информации, обеспечивающей нейтрализацию угроз с использованием методов и способов защиты информации;
* проведения мероприятий, направленных на предотвращение несанкционированного доступа (НСД) в ИС и к содержащимся в ней данным, включая предотвращение несанкционированного воздействия на технические и программные средства ИС;
* недопущения воздействия на технические средства ИС, в результате которого может быть нарушено их функционирование;
* контроля за обеспечением уровня защищенности персональных данных.  Я бы убрала
   При анализе  таблицы «Модель угроз» (См. Приложение 3)  видно, что актуальными угрозами безопасности на предприятии «Связной-Логистика» являются:
* угрозы от действий вредоносных программ (вирусов);
* угрозы утраты ключей и атрибутов доступа;
* доступ к информации, копирование, модификация, пересылке, уничтожении лицами, не допущенными к ее обработке
* непреднамеренное/преднамеренное отправление защищаемой информации через социальные сети, почту, загрузка в облачные хранилища
* разглашение информации, копирование, модификация, уничтожение сотрудниками, допущенными к ее обработке
* угрозы выявления паролей по сети;
* угрозы внедрения по сети вредоносных программ;

   Модель угроз и Модель нарушителя предприятия позволяют оценить степень защищённости предприятия. Выявить возможные угрозы и закрыть уязвимые места.
   Проанализировав всю собранную информацию можно сформировать требования по устранению уязвимостей на предприятии.
   Необходимо выполнение следующих требований:
* контроль доступа в помещения в которых размещена ИС, что пПрепятствует возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
* обеспечение сохранности и учёт носителей персональных данных, а также средств авторизации/идентификации пользователей;
* использование средств защиты информации, которые прошедшими процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации. Используется в случаях, когда применение таких средств необходимо для предотвращения актуальных угроз;
* реализация парольной политики, устанавливающая обязательную сложность и периодичность смены пароля;
* методы и средства аутентификации пользователей таких как Rutoken(etoken), паролей и логинов доступа, биометрии и smart-карт
* технически обеспечить обязательную регистрацию и учет всех действий, которые пользователи совершают с обрабатываемыми данными
* мероприятия по контролю доступа в контролируемую зону лиц, не имеющих доступа к обработке данных
* регулярный инструктаж пользователей о мерах предотвращения вирусного заражения
* организация постоянного контроля над выполнением пользователями инструкций по обеспечению защиты информации, положений парольной политики, и за их действиями в случаях утраты или компрометации паролей
* подписание пользователями документа о неразглашении персональных данных и другой конфиденциальной информации.
   Вывод
   По статистике, 82% угроз информационным ресурсам происходит по вине собственных сотрудников. Сотрудники совершают действия приносящие вред компании либо по неосторожности, либо предумышленно. 
   Опасность внутренних угроз является одной из злободневных проблем.
   В условиях жесткой конкурентной обстановки особенно актуальной является задача по сохранению конфиденциальности данных. Ошибочно отправленное электронное письмо, сообщение «vkontakte», «icq», «одноклассники» или выводимые на печать документы могут содержать конфиденциальные сведения, не предназначенные для посторонних лиц. Коммерческая или служебная тайна, персональные данные клиентов, партнеров или сотрудников, а также иные виды защищаемой информации могут попасть в руки к третьим лицам и нанести бизнесу непоправимый ущерб. Необходимо своевременно принять меры для предотвращения рисков, связанных с утечкой конфиденциальной информации.
   Для защиты от утечек конфиденциальной информации, проанализировав имеющиеся информационные ресурсы компании, угрозы и уязвимости, установить программное обеспечение способное сократить риск утечки конфиденциальной информации.
   Для обеспечения защиты от утечек конфиденциальной информации в любой компании должна быть предусмотрена DLP-система.
   Целью работы является изучение защиты информации от внутренних угроз на предприятии «Связной-Логистика» и разработка системы защиты информации для предотвращения утечки конфиденциальной информации с помощью программно-аппаратных средств представленных на рынке IT. А вот она и цель, повторить во введении
   Глава 2. 
   
   ТЕОРЕТИЧЕСКАЯ ЧАСТЬ
   
   2.1 Понятие внутренних и внешних угроз безопасности информации 
   Внутренние и внешние угрозы
   Все угрозы информационной безопасности на предприятии подразделяются на:
* внутренние
* внешние  
    Формы проявления внешних угроз:
* заражение техники различными вирусами и вредоносными программами;
* несанкционированный доступ (НСД) к информации ограниченного доступа;
* шпионаж со стороны конкурирующих структур, разведывательных и специальных служб;
* действия государственных структур и служб(сбор, изменение(модификация), изъятие, уничтожение информации);
* ЧС.???
    В основном, все инциденты информационной безопасности связаны с внутренними угрозами.
   Внутренние угрозы:
* уУтечки;
* кражи информации коммерческой тайны(КТ) и персональных данных сотрудников и клиентов;
* ущерб информационной системе связанный, с действиями работающих сотрудников этой организации. 
   Угрозы могут быть: 
* совершаемые осознанно из своих  злонамеренных и корыстных соображений
* совершаемые случайно по невнимательности и технической некомпетенции без корыстных побуждений .
   Источниками внутренних угроз являются:
* Сотрудники организации;
* Программное обеспечение;
* Аппаратные средства.
   
    Внутренние угрозы могут проявляться в следующих формах:
* ошибки пользователей и системных администраторов;
* нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;
* ошибки в работе программного обеспечения;
* отказы и сбои в работе компьютерного оборудования.

   Внутренние нарушители:
* Лица имеющие санкционированный доступ в контролируемую зону, но не имеющий доступа к информации;
* Зарегистрированный пользователь информационного ресурса, имеющий ограниченные права доступа с рабочего места;
* Пользователь информационных ресурсов осуществляющий удаленный доступ к ЛВС;
* Зарегистрированный пользователь с полномочиями системного администратора ;
* Зарегистрированный пользователь с полномочиями администратора безопасности;
* Программисты-разработчики прикладного ПО и лица обеспечивающие его сопровождение;
* Разработчики и лица обеспечивающие поставку, сопровождение и ремонт технических средств; 
* Другие категории лиц в соответствии с оргштатной структурой;
   По исследованиям CSI/FBI Computer Crime and Security Survey 2013/2014  внутренние инциденты почти сравнялись с  внешними(см. Рисунок 4).
     Рисунок 4 – Анализ угроз переименовать
     
   На сегодняшний день вопрос о борьбе с внутренними угрозами стоит более остро, чем вопрос о борьбе с внешними. 
   
   Согласно исследованиям компании Zecurion, по итогам 2014 года в России зафиксирован 41 внутренний инцидент. По количеству публичных инцидентов, собранных в рамках исследования, Россия удерживает второе место после лидера — США.
   Но данное число инцидентов далеко не отражает полную картину. Реальное число таких инцидентов в России и мире на несколько порядков больше. Компании стараются скрыть случаи утечки информации, чтобы сохранить «имидж» компании
   
   Самый популярный канал утечки — электронная почта (с попытками передать информацию по этому каналу сталкиваются 53% компаний), USB-флэшки (45%) и интернет-сервисы (32%). При анализе утечек за 2014 год было выявлено, что наибольшее количество, представляют собой, идентификационные данные пользователей(см. Рисунок 5).
   	 Рисунок 5 – Количество утечек данных по типу выявленных за 2012 год
   Из всех этих утечек лишь 4% были безопасными, т.е. благодаря шифрованию украденная информация не могла быть использована.
   Чаще всего информацию крадут из предприятий розничной торговли(см. Рисунок 6). Неподдельный интерес у хакеров вызывают данные платежных карт клиентов. 
   Рисунок 6 – Доля утечек данных по отраслям
   
   Взламывая системы безопасности ритейлера, злоумышленники получают различную информацию:
* данные о платежных картах,
* информацию, указанную при оформлении дисконтной или клубной карты,
* данные о месте жительства,
* номер мобильного телефона и т.д.
   Наиболее часто утечка данных происходит благодаря сотрудникам компаний. Это происходит либо по злому умыслу, либо по неосторожности. Сторонние компании-конкуренты воруют информацию также часто, как хакеры.
   	«Связной» относится к крупным предприятиям мобильного ритейла, что побуждает уделять особое внимание безопасности коммерческой и конфиденциальной информации. Убрать в этой главе только теория без относительно к конкретному предприятию
   
   2.2 Методы и средства защиты от внутренних угроз
   
   Существует несколько типов систем для обеспечения внутренней безопасности:
* Мониторинг системы
* Системы аутентификации
* Средства шифрования носителя
* DLP-системы
* Поиск сигнатур
* Поиск регулярных выражений(метод  масок)
* Метод цифровых отпечатко 
* в
* Лингвистический и морфологический анализ
* Контейнерный анализ (или контекстная фильтрация) 
   
   Системы мониторинга и аудита
    Мониторинг корпоративной сети –это технология наблюдения за ресурсами сети, генерации сигналов тревоги и выработки адекватных диагностических решений. Организация процедур мониторинга -одно из необходимых условий реализации комплексной политики информационной безопасности. Решение комплексной проблемы   организации мониторинга корпоративной сети подразделяется на выполнение взаимосвязанных задач:
* декодирование и анализ сетевых пакетов;
* мониторинг активного сетевого оборудования;
* мониторинг состояния кабельной системы;
* мониторинг состояния серверов и ответственных рабочих станций;
* мониторинг приложений.
   Подходы к организации мониторинга :
* установка комплексной системы (единое программно-аппаратное решение; дорогостоящий вариант);
* организация мониторинга на основе множества продуктов.
   В основе мониторинга безопасности лежит анализ сетевого трафика. В частном случае задача анализа трафика решается на основе применения  анализаторов протоколов.
   Система мониторинга безопасности может применяться в комплексе с межсетевым экраном, выполняя при этом следующие основные задачи:
* защита от внешних угроз посредством контроля трафика, проходящего между внешней и внутренней сетями. При этом система мониторинга безопасности дополняет возможности межсетевого экрана в части фильтрации трафика;
* защита от внутренних угроз посредством контроля внутреннего трафика.
    
   Система мониторинга безопасности обеспечивает выявление следующих типов «подозрительной» сетевой активности:
* атаки типа «отказ в услугах».
* попытки получения несанкционированного доступа.
* «подозрительные» приложения.
* сетевые игры.
    
   Система мониторинга безопасности обеспечивает:
* пассивную защиту – при обнаружении запрещенной сетевой активности система фиксирует действия в регистрационном журнале и отправляет сообщение на консоль администратора, e-mail сообщение, сообщение на пейджер;
* активную защиту - при обнаружении запрещенной сетевой активности система сбрасывает соединение с адресом, являющимся источником угрозы и модифицирует правила фильтрации межсетевого экрана (маршрутизатора) таким образом, чтобы запретить доступ с этого адреса.
   Кроме того, возможна адаптация правил обнаружения запрещенной сетевой активности в соответствии с правилами политики информационной безопасности, принятыми на предприятии.
   Системы мониторинга являются хорошим средством при расследовании инцидентов на предприятии. Современные системы мониторинга и аудита позволяют регистрировать практически все действия. Недостатки: отсутствие возможности предотвращения утечки, т.к. для этого нужна система реагирования на события и принятия решений, распознающая какая последовательность действий несет угрозу, а какая нет. Так как если ответной реакции на нарушение не последует сразу, последствий инцидента не избежать.
   Системы аутентификации
   Служат для защиты от несанкционированного доступа к данным. В их основе лежит двух- или трехфакторный процесс аутентификации, в результате которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам. Такие средства могут защитить информацию от “непосвященного” сотрудника, но не от инсайдера, который и так имеет доступ к охраняемой информации.
   Средства шифрования носителей
    Данный класс программ защитит от утечки информации при потере носителя или ноутбука. Но, если инсайдер передаст носитель вместе с ключом, на котором зашифрована информация другой стороне, то такой метод защиты будет бесполезен.
   
   Системы выявления и предотвращения утечек (Data Leakage Prevention, DLP)
   
   Данные системы также называют системами защиты конфиденциальных данных от внутренних угроз . Эти системы контролируют каналы утечки данных в реальном времени. Существуют комплексные (покрывающие много каналов утечки) и точечные (покрывающие определенный канал утечки) решения. Данные системы используют проактивные технологии, благодаря чему, не только регистрируют факт нарушения ИБ, но и предотвращают саму утечку информации. 
   DLPсистемы различают по способу обнаружения утечки данных: 
* при использовании (Data-inUse) — на рабочем месте пользователя; при передаче (Data-inMotion) — в сети компании; 
* при хранении (Data-atRest) — на серверах и рабочих станциях компании.
    DLPсистемы могут распознавать критичные документы: 
* по формальным признакам — это надёжно, но требует предварительной регистрации документов в системе;
* по анализу содержимого — это может давать ложные срабатывания, но позволяет обнаруживать критичную информацию в составе любых документов. 
   Со временем, изменились и характер угроз, и состав заказчиков и покупателей DLPсистем. Современный рынок предъявляет к этим системам следующие требования: 
* поддержка нескольких способов обнаружения утечки данных (Data inUse, Data -inMotion, Data-atRest); 
* поддержка всех популярных сетевых протоколов передачи данных: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, различных P2Pпротоколов; наличие встроенного справочника веб-сайтов и корректная обработка передаваемого на них трафика (веб-почта, социальные сети, форумы, блоги, сайты поиска работы и т.д.); 
* желательна поддержка туннелирующих протоколов: VLAN, MPLS, PPPoE, и им подобных; 
* прозрачный контроль защищенных SSL/TLS протоколов: HTTPS, FTPS, SMTPS и других; 
* поддержка протоколов VoIPтелефонии: SIP, SDP, H.323, T.38, MGCP, SKINNY и других; 
   Наличие гибридного анализа — поддержки нескольких методов распознавания ценной информации: 
* по формальным признакам,
* по ключевым словам, по совпадению содержимого с регулярным выражением, на основе морфологического анализа; 
* желательна возможность избирательного блокирования передачи критически важной  информации по любому контролируемому каналу в режиме реального времени;
* избирательного блокирования (для отдельных пользователей, групп или устройств); 
* желательна возможность контроля действий пользователя над критичными документами: просмотр, печать, копирование на внешние носители; желательна возможность контролировать сетевые протоколы работы с почтовыми серверами Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync и т.д. для анализа и блокировки сообщений в реальном времени по протоколам: (MAPI, S/MIME, NNTP, SIP и т.д.);
* желателен перехват, запись и распознавание голосового трафика: Skype, IP-телефония, Microsoft Lync;
* наличие модуля распознавания графики (OCR) и анализа содержимого; 
* поддержка анализа документов на нескольких языках;
* ведение подробных архивов и журналов для удобства расследования инцидентов; 
* желательно наличие развитых средств анализа событий и их связей; 
* возможность построения различной отчётности, включая графические отчеты.
   Благодаря новым тенденциям в развитии информационных технологий, становятся востребованными и новые функции DLPпродуктов. С широким распространением виртуализации в корпоративных информационных системах появилась необходимость её поддержки и в DLPрешениях. Повсеместное использование мобильных устройств как инструмента ведения бизнеса послужило стимулом для возникновения мобильного DLP. Создание как корпоративных так и публичных «облаков» потребовало их защиты, в том числе и DLPсистемами. И, как логичное продолжение, привело к появлению «облачных» сервисов информационной безопасности (security as a service — SECaaS).

     Существуют программно-аппаратные средства защиты, которые нельзя непосредственно отнести к перечисленным выше категориям, например средства блокировки внешних носителей и д.р., но данные средства, как правило, не отличают конфиденциальную информацию от не конфиденциальной и являются реализацией отдельных функций современных систем защиты от внутренних угроз. На сегодняшний день системы защиты от внутренних угроз - это единственное решение, позволяющее предотвратить утечки в реальном времени, контролируя действия пользователей и процессов производимые с файлами и способное распознавать конфиденциальную информацию в информационном потоке. Чтобы определить уязвимое место в защите, предоставляемой такой системой, необходимо более.......................