Журнал "Системы Безопасности" № 2‘2021

К О М П Л Е К С Н А Я Б Е З О П А С Н О С Т Ь , П Е Р И М Е Т Р О В Ы Е С И С Т Е М Ы 109 Ко второй категории относятся все случаи слеж- ки, например, чтобы добиться внимания жен- щины или отомстить обидчику. "Вершиной" мотивов является доминирование, когда те или иные действия совершаются "про- сто потому, что я могу", например, обесточива- ние целого здания. Определившись с нарушителями, мы можем дополнить карту угроз (табл. 2). Таким образом, мы точно знаем цепочку собы- тий от угрозы до инцидента (см. рис.). Теперь давайте разберемся с тем, как ее прервать. Обнаружение В цепочке ключевым является последний пункт – ущерб. То есть инциденты, приводящие к финансовым потерям, должны обнаруживать- ся и предотвращаться. Обнаруживаться также должны все неудачные попытки причинить ущерб, а именно свершенные угрозы, которые не нанесли ущерба по каким-либо причинам. Для обнаружения инцидентов необходимо выполнить ряд шагов: 1. Заручиться поддержкой высшего руководства. Без осознания возможных потерь от ущерба и требуемых мер все дальнейшие действия будут являться полумерами или полностью провалятся. При общении с топ-менеджментом выгоднее всего опираться на финансовые показали 1 . 2. Понимать, знать и закрепить нормальное (обычное) состояние актива. Если колеса долж- ны лежать на складе, то в секции Е-21. Если база клиентов располагается в общей инфор- мационной сети, то доступ к ней должны иметь отдел продаж, бухгалтерия, ИТ-администрато- ры и безопасники. 3. Принять меры физической защиты актива. Меры физической защиты должны зависеть от ценности актива и угроз. Колеса можно поло- жить в секцию Е-21 под замок, выдавать ключ под роспись и поставить видеонаблюдение. 4. Принять организационные меры по защите актива. Должны быть приняты внутренние пра- вила и регламенты по использованию актива, предоставлению доступа, списанию и уничто- жению и другим применимым действиям. 5. Создать или дополнить штат службы безопас- ности необходимыми специалистами. Какие бы средства автоматизации вы ни применяли, при недоборе в штатном расписании вы физически не сможете вовремя реагировать на инциденты. Получив необходимые рычаги, можно перейти к выстраиванию системы обнаружения инци- дентов. Главный принцип обнаружения инци- дентов – выявление отклонений от нормально- го состояния актива. Для этого могут использо- ваться различные методы и их комбинации: 1. Штатное очное наблюдение. Если ваши ресурсы позволяют поставить возле каждого ценного актива охранника с пистолетом, то необходимо этим воспользоваться. Или хотя бы разделить объект на контролируемые зоны и назначить ответственного за каждую из них. 2. Автоматизированные датчики контроля состояния актива и пространства вокруг него в зависимости от его природы. Например, при обеспечении безопасности особенно ценных материальных активов хорошо себя показывает связка датчиков движения с видеонаблюдени- ем или СКУД. Для перемещаемых активов можно использовать RFID-метки, которые поз- волят не только быстро найти актив, но и сле- дить за его перемещением. 3. Автоматизированные системы для наблюдения за контролируемыми зонами. Сюда относятся системы контроля пересечения периметра, видео- наблюдение, системы контроля доступа и т.д. 4. Для информационных систем необходимы системы мониторинга и контроля пользовате- лей. Сюда относятся средства защиты от несанк- ционированного доступа, системы защиты от утечек информации (DLP-системы). 5. Для объединения всех используемых мето- дов крайне желательно создать ситуационный центр безопасности, куда будут подключены все системы обнаружения и безопасности. Это поз- волит штатному составу службы безопасности работать с уже обработанной информацией, а не искать признаки инцидентов, тратя большое количество человеко-часов. Предотвращение Когда процессы обнаружения более или менее выстроены, перед службой безопасности часто встает задача предотвращать инциденты на ранней стадии, а не разбираться с их послед- ствиями, то есть "бить по хвостам". Предотвращение инцидентов – комплексная задача, имеющая более низкий КПД. Здесь нет универсальных рецептов, так как основной источник проблем – люди, а, как известно, чело- веческая душа – потемки, по крайней мере, пока службы безопасности не станут массово брать на работу телепатов. Здесь можно расставить лишь ориентиры для последующих действий: 1. Первое направление – это работа с сотруд- никами. Сотрудники должны быть ознакомле- ны, желательно под подпись, с действующим режимом работы (что делать нельзя, какая ответственность за это наступает). Для подав- ляющего большинства людей страх наказания выше, чем сиюминутная прибыль. Там, где воз- можно, следует вводить материальную и кол- лективную ответственность, чтобы контроль и пресечение инцидентов осуществлялись кол- лективом. 2. Необходимо выявлять потенциально опасных сотрудников. Кто-то недоволен текущим поло- жением, кто-то хочет уйти к конкурентам, кто- то слишком разговорчив в Интернете. Конечно, слишком сложно и дорого отслеживать каждого сотрудника, но для ключевых позиций это жиз- ненно необходимо. 3. Важно создать комплексную скоринговую модель каждого бизнес-процесса, где уча- ствуют ключевые активы, и занести ее в инфор- мационную систему ситуационного центра. В зависимости от приоритетов и оценок это поз- волит выявлять пограничные состояния перед инцидентом, когда он еще не реализовался, но вот-вот может. Расследование Говоря об инцидентах, нельзя обойти внимани- ем вопрос об их расследовании. Расследование можно разделить на: l внутреннее; l с привлечением правоохранительных органов. Разница между ними в последствиях: при внут- реннем расследовании максимум, чего можно добиться, – увольнения нарушителя и иногда возмещения вреда. Если руководство ставит задачу максимального наказания нарушителей, вплоть до привлечения к уголовной ответственности, то весь процесс обнаружения инцидентов должен быть выстроен с учетом этой особенности. Оператив- но-розыскные мероприятия очень чувствитель- ны к обстоятельствам обнаружения инцидента, сбору доказательств и свидетельских показа- ний. Особенно это касается инцидентов в информационных системах. Если перед вами стоит задача максимального наказания наруши- телей, лучше сразу обратиться в специализиро- ванную организацию. Главный вывод Таким образом, к работе по обнаружению и предотвращению инцидентов следует подхо- дить комплексно. Чем основательнее будут про- ведены первые этапы инвентаризации и катего- рирования активов и угроз, тем проще будет подобрать эффективный набор мер даже в условиях ограниченного бюджета. n www.secuteck.ru апрель – май 2021 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru www.roundsec.io К мотивации "финансовый интерес" можно отнести 95% потенциаль- ных нарушений. Мир преступлений, а особенно киберпреступлений, прагматичен: если из определенного действия нельзя извлечь матери- альную выгоду, то найдется очень мало желающих этим заниматься 1 Дудко Д. Вопросы совокупной стоимости владения и эксплуатации комплексных систем безопасности // Системы безопасности. 2021. № 1. С. 120–121.