Здесь можно найти учебные материалы, которые помогут вам в написании курсовых работ, дипломов, контрольных работ и рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение оригинальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение оригинальности любого файла в формате MS Word. После такого повышения оригинальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, РУКОНТЕКСТ, etxt.ru. Программа «StudentHelp» работает по уникальной технологии так, что на внешний вид, файл с повышенной оригинальностью не отличается от исходного.

Результат поиска


Наименование:


Курсовик Специфика защиты информации в телекоммуникационных компаниях. Анализ нарушителей и законов в области защиты от внутренних угроз: правовое и нормативное регулирование и сертификация по международным стандартам. Методы предотвращения внутренних утечек.

Информация:

Тип работы: Курсовик. Предмет: Схемотехника. Добавлен: 11.01.2009. Год: 2009. Уникальность по antiplagiat.ru: < 30%

Описание (план):


3
«Защита от внутренних угроз на предприятиях связи»

2008 г.

СОДЕРЖАНИЕ


    Введение
      1. Самые громкие инсайдерские инциденты в области телекоммуникаций
      2. Внутренние нарушители
      3. Законы в области защиты от внутренних угроз
        3.1. Правовое и нормативное регулирование
        3.2. Сертификация по международным стандартам
      4. Статистические исследования
      5. Методы предотвращения внутренних утечек
    Заключение
    Список использованной литературы

ВВЕДЕНИЕ

Актуальность темы обусловлена тем, что в связи с массовым характером предоставления услуг связи в базах данных телекоммуникационных компаний могут быть аккумулированы записи миллионов и десятков миллионов граждан. Именно они и нуждаются в наиболее серьезной защите. Как показала практика, в результате пренебрежения опасностью утечки бизнес рискует потратить сотни миллионов долларов на PR-кампании, судебные издержки и новые средства защиты персональной информации клиентов.

Специфика защиты информации в телекоммуникационных компаниях проявляется в характере тех данных, которые необходимо защищать. Вся информация хранится в базах данных, находящихся в IT-инфраструктуре оператора. Кража чревата сразу несколькими негативными последствиями. Во-первых, это может ударить по репутации компании, что проявляется в оттоке существующих клиентов и трудностях в привлечении новых. Во-вторых, фирма нарушает требования закона, что может привести к отзыву лицензии, судебным издержкам, дополнительному ущербу для имиджа.

Целью работы является изучение защиты от внутренних угроз на предприятиях связи.

Задачами работы являются:

- рассмотрение самых громких инсайдерских инцидентов в области телекоммуникаций;
- анализ внутренних нарушителей;
- изучение законов в области защиты от внутренних угроз: правовое и нормативное регулирование и сертификация по международным стандартам;
- изучение статистических исследований;

- рассмотрение методов предотвращения внутренних утечек.

Работа состоит из пяти глав.

В первой главе рассматриваются самые громкие инсайдерские инциденты в области телекоммуникаций, во второй главе рассматриваются внутренние нарушители, в третьей главе анализируются законодательная база в области защиты от внутренних угроз, в четвертой главе рассматриваются статистические исследования, в пятой главе приводятся методы предотвращения внутренних утечек.

В заключении содержатся выводы по проведенному исследованию.

1. Самые громкие инсайдерские инциденты в

области телекоммуникаций

Реальные инциденты являются наиболее наглядной иллюстрацией всей серьезности угрозы от инсайдеров. Пренебрежение этой опасностью в 2006 г. привело к крупному скандалу в США. Журналисты за $90 купили список входящих и исходящих вызовов бывшего кандидата в президенты США, генерала Уэсли Кларка, и американская общественность с удивлением обнаружила, что телефонные записи, во-первых, вообще не защищены законом, а, во-вторых, очень плохо защищены операторами мобильной связи.
В январе 2007г. информационные агентства сообщили об одной «неочевидной» утечке. В Интернете появилась база данных пользователей мобильной связи от «Корбина телеком»: фамилии, номера телефонов, гарантийные взносы почти 40 тыс. абонентов, в том числе нескольких топ-менеджеров компании. Комментарии «Корбины» в некоторой степени успокоили клиентов. Скорее всего, под видом новой базы, предлагалась информация 4-летней давности. Тогда программист-инсайдер действительно выложил в свободный доступ сведения об абонентах компании, и за это время информация почти полностью потеряла свою актуальность. [1]

В десятку самых громких инсайдерских инцидентов вошла кража клиентской базы японского сотового оператора KDDI. Под угрозой раскрытия информации о крупной утечке данных инсайдеры требовали $90 тыс. у японской корпорации KDDI - второго по величине оператора сотовой связи в стране. Чтобы продемонстрировать обоснованность своих угроз, в мае 2006 г. шантажисты предъявили представителям KDDI компакт-диски и USB-флешки с приватными данными, подбросив их на проходную. Однако менеджмент компании проигнорировал требования преступников и обратился к правоохранительным органам. В течение двух недель полицейские контролировали переговоры шантажистов и KDDI, а потом арестовали подозреваемых. Расследование показало, что в руки шантажистов действительно попала база приватных сведений о 4 млн. клиентов KDDI. Каждая запись базы содержала имя, пол, дату рождения, телефоны, почтовые адреса каждого клиента. Все эти данные идеально подходят для осуществления кражи личности. Топ-менеджмент уверен, что один из служащих специально скопировал сведения и вынес их за пределы компании.

В целом, более 200 работников имели доступ к украденным данным.

Не менее громкий инцидент произошел ближе к России: утечка базы данных белорусского сотового оператора Velcom. Журналисты приобрели текстовый файл с информацией о номерах телефонов и ФИО 2 млн. его абонентов. При этом пресса отмечает, что базы данных Velcom регулярно становятся достоянием общественности: с 2002 г. вышло как минимум шесть вариантов, причем каждый раз информация дополнялась. Между тем базы данных МТС в белорусском Интернете по-прежнему отсутствуют. Столкнувшись с волной критики, Velcom заявила, что белорусские законы не защищают персональные данные граждан, а значит, никаких юридических претензий к Velcom быть не может. Оператор обвинил в утечке банк, которому была передана база данных клиентов «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». После этого Velcom «рассматривает возможность предъявления иска о защите деловой репутации». К чему приведет разбирательство, покажет время, но пока инсайдеры слишком часто уходят от ответственности.

Октябрь 2006 г. Инсайдеры из индийского телекома Acme Tele Power украли результаты инновационных разработок и передали их фирме-конкуренту Lamda Private Limited. По оценкам Ernst & Young, прямые финансовые убытки Acme составили $116 млн. Любопытно, что интеллектуальная собственность «утекла» самым обычным способом - по электронной почте. После этого компания Acme Tele Power собирается вообще перенести свой бизнес из Индии в Австралию. [2]

2. внутренние нарушители

Очень многие организации проводили исследования в сфере внутренних утечек. Наиболее крупные и известные - исследования Uncertainty of Data Breach Detection, проведенного Ponemon Institute [4]; исследования западных аналитиков: CSI/FBI Computer Crime and Security Survey [5]. Таблица 1 иллюстрирует одно из таких исследований.

Табл. 1. Самые опасные угрозы ИБ по совокупному ущербу в долларах

Угрозы
Ущерб (в долларах)
Вирусы
$ 15 691 460
Неавторизованный доступ
$ 10 617 000
Кража ноутбуков
$ 6 642 560
Утечка информации
$ 6 034 000
Отказ в обслуживании
$ 2 992 010
Финансовое мошенничество
$ 2 556 900
Злоупотребление сетью или почтовыми инсайдерами
$ 1 849 810
Телеком-мошенничество
$ 1 262 410
Зомби-сети в организации
$ 923 700
Взлом системы извне
$ 758 000
Фишинг (от лица организации)
$ 647 510
Злоупотребление беспроводной сетью
$ 469 010
Злоупотребление интернет-пейджерами инсайдерами
$ 291 510
Злоупотребление публичными веб-приложениями
$ 269 500
Саботаж данных и сетей
$ 260 00

Можно добавить только, что в комментариях по объему ущерба аналитики FBI и Института компьютерной безопасности скептически относятся к тому, что респонденты смогли более или менее точно определить объем убытков в связи с утечкой персональных данных или коммерческих секретов. Такие инциденты имеют множество долгосрочных отрицательных последствий. Например, ухудшение общественного мнения, снижение репутации и сокращение клиентской базы. Все это происходит постепенно и занимает недели и месяцы. А для выявления убытков в виде недополученной вследствие утечки прибыли требуется как минимум год. Так что внутренняя структура финансовых потерь из-за угроз ИБ не поддается точному определению.

В целом защита информации в организациях включает в себя [3]:

· совокупность компьютеров, связанных между собой в сеть;
· каналы связи, реализованные произвольными каналами передачи информации, через которые физически реализуется сеть логических связей;
· обмен конфиденциальной информацией внутри сети в строгом соответствии с допустимыми логическими связями
· интегрированная многоуровневая защита от несанкционированного доступа и внешнего воздействия
· жесткое централизованное задание структуры логических связей и разграничение доступа внутри сети
· независимость логической структуры сети от типов каналов передачи информации.
Большинство компаний уже давно построило защиту от внешних угроз, и теперь им требуется защитить тылы. Среди внутренних угроз можно выделить несколько наиболее распространенных способов нанесения ущерба:
· неавторизованный доступ в систему (ПК, сервер, БД);
· неавторизованный поиск/просмотр конфиденциальных данных;
· неавторизованное изменение, уничтожение, манипуляции или отказ доступа к информации, принадлежащей компьютерной системе;
· сохранение или обработка конфиденциальной информации в системе, не предназначенной для этого;
· попытки обойти или взломать систему безопасности или аудита без авторизации (кроме случаев тестирования системы безопасности или подобного исследования);
· другие нарушения правил и процедур внутренней безопасности сети.
Существует несколько путей утечки конфиденциальной информации:
o почтовый сервер (электронная почта);
o веб-сервер (открытые почтовые системы);
o принтер (печать документов);
o FDD, CD, USB drive (копирование на носители). [6]
Прежде чем переходить к аналитическим выкладкам, необходимо ответить на вопрос, что же все-таки называется внутренней угрозой. Важность этого определения усиливается еще и тем, что саботаж -- лишь часть внутренних угроз, следует различать саботажников и, например, инсайдеров, «сливающих» конфиденциальную информацию конкурентам.
Корпоративный саботаж -- это вредительские по отношению к компании действия, совершенные инсайдерами в силу уязвленного самолюбия, желания отомстить, ярости и любых других эмоциональных причин. Заметим, что под емким термином «инсайдер» понимаются бывшие и нынешние сотрудники предприятия, а также служащие-контрактники.
Корпоративные диверсии всегда совершаются из эмоциональных, порой нерациональных побуждений. Саботажник никогда не руководствуется желанием заработать, не преследует финансовую выгоду. Этим, собственно, саботаж и отличается от других инсайдерских угроз.
Исследование Секретной службы США установило, что в 98% случаев диверсантом является мужчина. Однако эти мотивы представляют собой следствия более ранних событий, которые вывели служащего из равновесия (Табл. 2). По сведениям аналитиков, в большинстве случаев саботажу предшествует неприятный инцидент на работе или серия таких инцидентов.
Табл. 2 События, предшествующие саботажу
Конфликт
20%
Увольнение
47%
Отсутствие повышения
13%
Другие
20%
Источник СЕRT

Многие саботажники на момент совершения диверсии являются уже бывшими сотрудниками компании-жертвы, сохранившими доступ к ее информационным ресурсам по каким-то причинам (вероятно, оплошности администратора). Заметим, это почти половина всех случаев.
Как показало исследование CERT, практически все корпоративные диверсанты являются специалистами, так или иначе связанными с информационными технологиями.
Табл. 3 Портрет типичного саботажника
Инженер
14%
Программист
21%
Системный администратор
38%
Специалист по IT
14%
Другое
13%
Источник СЕRT

Таким образом, из наиболее достоверных черт саботажника можно выделить всего две: это мужчина, сотрудник технического департамента. Девять из десяти диверсий совершаются людьми, так или иначе связанными с информационными технологиями. По мнению экспертов компании InfoWatch, разработчика систем защиты конфиденциальной информации от инсайдеров, причина такой профессиональной принадлежности кроется в психологических особенностях этих служащих. Подробнее разобраться в проблеме позволят два примера из жизни, наиболее ярко иллюстрирующие типичные черты характера IT-профессионалов.
«Я работал в средней по величине компании, занимающейся разработкой программного обеспечения. При доступе к основным серверам у меня были привилегии администратора. Только чтобы размять свой ум, я обдумывал, как можно использовать этот доступ злонамеренно, и разработал следующий план. Во-первых, взломать систему резервного копирования... Во-вторых, подождать год или дольше. В-третьих, стереть всю информацию на серверах, включая взломанное программное обеспечение для шифрования/дешифрования резервных данных. Таким образом, у предприятия останутся лишь зашифрованные резервные копии (без ключа). В-четвертых, предложить компании купить ключи, которые удалось получить еще на первом шаге. Если фирма откажется, то потеряет годы своей работы. Это, конечно, всего лишь гипотетический план. Я не пытался претворить его в жизнь, поэтому не знаю, сработал бы он или нет…», -- Филиэс Купио (Filias Cupio). «Большинство специалистов по информационным технологиям, которых я знаю, даже еще начинающие ребята, сразу же при вступлении в должность первым делом устанавливают программу скрытого управления (rootkit) в корпоративную систему. Это рефлекс. Ребята не хотят никому навредить и не строят вредоносных планов, им просто нужен надежный доступ к системе, чтобы можно было спокойно работать из дома или колледжа», -- Бен.
Глубокая психологическая подоплека акта саботажа часто приводит к тому, что рассерженный служащий угрожает начальству или сослуживцам. Иногда он даже делится своими мыслями с кем-то из коллег. Другими словами, информация о готовящейся диверсии есть не только у саботажника. Аналитики подсчитали, что в 31% случаев сведениями о планах диверсанта располагают другие люди. Из них 64% -- коллеги, 21% -- друзья, 14% -- члены семьи, а еще 14% --сообщники.
В 47% случаев диверсанты совершают подготовительные действия (например крадут резервные копии конфиденциальных данных). В 27% -- конструируют и проверяют механизм атаки (готовят логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т. д). При этом в 37% случаев активность сотрудников можно заметить: из этого количества 67% подготовительных действий заметны в режиме online, 11% -- offline, 22% -- обоих сразу.
Следует также учесть, что подавляющее большинство атак производится саботажниками в нерабочее время и с помощью удаленного доступа к корпоративной сети. [7]

3. Законы в области защиты от внутренних угроз

Правовое и нормативное регулирование

Специфика сектора телекоммуникаций (по сравнению с другими отраслями) проявляется и в вопросах нормативного регулирования. Во-первых, компании этой отрасли часто ориентированы на предоставление услуг физическим лицам, а потому аккумулируют в своей корпоративной сети огромные объемы персональных данных абонентов. Отсюда пристальное внимание руководства департаментов ИТ и ИБ к ФЗ «О персональных данных», который предъявляет целый ряд требований к безопасности приватных сведений граждан. Во-вторых, телеком не так давно обзавелся собственным стандартом под названием «Базовый уровень информационной безопасности операторов связи» [8]. Он представляет собой минимальный набор рекомендаций, реализация которых должна гарантировать определенный уровень ИБ коммуникационных услуг, позволяя обеспечить баланс интересов операторов, пользователей и государства. Разработка этого норматива обусловлена развитием телекоммуникационной отрасли: операторы связи вынуждены объединять свои сети, чтобы предоставлять необходимый набор услуг, однако сами операторы не знают, с кем они имеют дело и кому они могут доверять, чтобы избежать угроз ИБ [9]. Некоторые положения этого документа напрямую касаются внутренних рисков ИБ и проблем сохранения персональных данных. Например, оператору рекомендуется «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». От компаний требуют вести журналы регистрации событий ИБ и хранить их согласно срокам исковой давности (в России - 3 года). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности». Нельзя обойти вниманием пункт, который гласит: «Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, российский сектор телекоммуникаций постепенно приближается к передовому опыту - в США и ЕС компании уже давно несут ответственность за утечку приватных данных и по закону обязаны поставить пострадавших в известность об утечке. Со временем такая норма должна появиться и в России.

Правда, утверждать, что нормативное регулирование играет определяющую роль в секторе телекоммуникаций, пока нельзя. Тем не менее руководству уже сегодня следовало бы задуматься о соответствии ИТ и ИБ существующим стандартам и законам на тот случай, если надзорные органы начнут наконец действовать. Кроме того, крупные телекоммуникационные компании, чьи акции котируются на биржах, обязаны удовлетворять требованиям фондовых рынков. В России, например, это необязательный Кодекс корпоративного поведения ФСФР (Федеральная служба по финансовым рынкам), в Британии - Объединенный кодекс корпоративного управления (полуобязательный), а в США - закон SOX (Sarbanes-Oxley Act of 2002). ФЗ «О персональных данных» и «Базовый уровень…» представляют непосредственный интерес для российских телекоммуникационных компаний.[10]

ФЗ «О связи» (ст. 46, п. 1) возлагает на оператора такие функции ИБ, как защита сооружений связи, средств связи и передаваемой по ним информации от несанкционированного доступа; обеспечение безопасности функционирования внутренней инфраструктуры оператора связи.
Требования эти необходимо реализовывать в системе функционирования сети связи, контролировать их работоспособность, сопровождать эксплуатацию, готовить и представлять в вышестоящие инстанции статистическую отчетность. Однако из-за отсутствия координирующих нормативных положений единого подхода к обеспечению безопасности информации не существует. Нет общего подхода и к составу подразделений ИТ и ИБ. Это, как правило, зависит от объема выполняемых оператором задач, а функциональные обязанности между ИТ и ИБ распределяются исходя из предыдущего опыта руководителей этих подразделений.

Сертификация по международным стандартам

Самая известная в мире сертификация - по требованиям стандарта ISO 27001:2005. В России на сегодняшний день официально сертифицировали свои системы управления информационной безопасностью (СУИБ) шесть компаний; четыре из них работают в сфере ИТ. Стандарт ISO/IEC27001:2005, выпущенный British Standards Institute в 2005 г., основан на лучших мировых практиках. Он четко определяет ключевые процессы, которыми необходимо управлять менеджеру, отвечающему за обеспечение ИБ в организации. Согласно этому стандарту, заключительный этап подтверждения эффективности системы ИБ - проведение независимой проверки аккредитованным органом по сертификации. Положительное заключение такого органа свидетельствует об эффективном и корректном обеспечении процессов управления ИБ, о позитивном имидже фирмы, а для ее руководства служит убедительным аргументом, что в ИС предприятия используются современные средства обеспечения ИБ с максимальным уровнем эффективности. Сам процесс проверки внешним органом по сертификации повышает степень доверия руководства к ИБ-подразделениям, являясь показателем качества и профессионализма сотрудников этой службы.
Решение о внедрении СУИБ в организации должно приниматься на самом высоком уровне управления, в идеале - генеральным директором. Без поддержки руководства такие проекты нередко обречены на провал, в лучшем случае - на неэффективное функционирование в условиях неприятия процессов работниками фирмы.

В документе X.sbno из рекомендаций ITU-Т, основанном на «Базовом уровне…», все требования разделены на три вида:

1) В требованиях к политикам определена необходимость зафиксированной (утвержденной) внутренними процедурами предприятия связи политики безопасности, основанной на лучших практиках оценки и управления рисками, отвечающей нуждам деловой деятельности и соответствующей национальному законодательству. Политики безопасности должны быть опубликованы и доведены до сведения персонала оператора связи и внешних участников (клиентов, взаимодействующих операторов, других заинтересованных лиц).
2) В требованиях к функциональности описаны требования только к имеющимся сертифицированным техническим средствам, описываются процедуры журналирования событий.
3) В требованиях к взаимодействию описан порядок идентификации собственных клиентов и других операторов. В подразделе указывается на необходимость наличия круглосуточной службы реагирования на инциденты безопасности (или использования такой службы на правах аутсорсинга).
Существует также требование обеспечения конфиденциальности передаваемой и/или хранимой информации для систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи. При этом оно должно соблюдаться и в том случае, если эта информация стала известна оператору связи в силу исполнения договоров об оказании услуг связи. [11]

4. Статистические исследования

Одной из самых масштабных и интересных работ в области защиты от внутренних угроз оказалось исследование 275 телекоммуникационных компаний, проведенное аналитическим центром InfoWatch. Согласно его результатам, инсайдерские риски превалируют над внешними угрозами в соотношении 6:4. Проанализируем структуру этих рисков и влияние на них различных факторов: используемых средств защиты информации, нормативного регулирования и др.

Список самых опасных внутренних угроз информационной безопасности (Табл. 4) возглавили нарушение конфиденциальности информации (85%) и искажение информации (64%). Обе эти угрозы можно обобщить понятием «утечка информации».

На третьей-четвертой позициях - мошенничество (49%) и саботаж (41%). Интересно, что в проводившемся общеотраслевом исследовании угроза саботажа почти на 15% опережает риск мошенничества. Видимо, в силу специфики предоставления услуг связи мошенничество признано одной из наиболее опасных угроз.
Табл. 4 Самые опасные угрозы ИБ
Нарушение конфиденциальности информации
85%
Искажение информации
64%
Мошенничество
49%
Саботаж
41%
Утрата информации
25%
Сбои в работе ИС
18%
Кража оборудования
11%
другое
7%
Оценивая негативные последствия утечки конфиденциальной информации, респонденты должны были указать две самые нежелательные, на их взгляд, позиции из предложенного списка ( Табл.5). Оказалось, что больше всего они дорожат своей репутацией и общественным мнением (51%), а потеря клиентов (43%) для них страшнее прямых финансовых убытков (36%) - показателя, который лидировал в общеотраслевом исследовании.
Табл. 5 Негативные последствия утечки информации
Удар по репутации и плохое паблисити
51%
Потеря клиентов
43%
Прямые финансовые убытки
36%
Снижение конкурентно способности
29%
Преследование регулирующими или правоохранительными органами
21%
Потеря партнеров
18%
Судебное преследование и юридические издержки
2%
Интересно, что лишь 2% респондентов опасаются, что утечка информации пов и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением оригинальности до 90% по antiplagiat.ru, etxt.ru


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.