Имеют ли результаты расследования нарушений информационной безопасности доказательную силу по уголовному делу

Обновлено: 30.06.2024

Обнаружение инцидента информационной безопасности. Разработка методики расследования преднамеренных действий, связанных с нарушением требований по утилизации бумажных документов и накопителей на магнитных дисках, содержащих конфиденциальную информацию.

Рубрика	Государство и право
Вид	контрольная работа
Язык	русский
Дата добавления	07.08.2013
Размер файла	18,5 K

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ

МОСКОВСКИЙ ЭНЕРГЕТИЧЕСКИЙ ИНСТИТУТ

ИНСТИТУТ ИНФОРМАЦИОННОЙ И ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ

Глава 1. Анализ теоретических основ

1.1 Общие положения

1.2 Обнаружение инцидента ИБ

1.3 Реагирование на инцидент ИБ

Глава 2. Расследование инцидента ИБ

2.1 Расследование инцидента ИБ

2.2 Порядок действий при расследовании инцидента ИБ

Список используемых источников

Введение

информационный безопасность инцидент конфиденциальный

Возможно не только законное уничтожение документов организации после истечения срока хранения, но и их умышленное несанкционированное уничтожение, порча или утрата в результате чрезвычайной ситуации.

Одним из этапов жизненного цикла большинства документов является их уничтожение. Причины бывают разные: законное уничтожение в организациях после истечения установленного срока хранения;

уничтожение или порча по неосторожности, в результате аварий и стихийных бедствий, природных и техногенных катастроф;

умышленное уничтожение или порча, для того, чтобы скрыть следы каких-то действий, или же для того, чтобы причинить вред владельцу документов.

Глава 1. Анализ теоретических основ

1.1 Общие положения

1.1 Настоящая методика разработана для расследования инцидентов, связанных с нарушением требований по утилизации бумажных документов и накопителей на магнитных дисках, содержащих конфиденциальную информацию, и предусматривает собой все действия, начиная от выявления инцидента ИБ, до проведения корректирующих и профилактических мероприятий.

1.2 Расследование включает в себя определение виновных в совершении того или иного инцидента ИБ, а также установление причин, которые ему способствовали.

1.3 Условно расследование делится на 2 этапа: сбор информации и их криминалистический анализ. Информация, собранная в результате первого этапа служит в дальнейшем для выработки стратегии реагирования на инцидент, а на этапе анализа собственно и определяется кто, что, как и когда и почему были вовлечены в инцидент.

1.2 Обнаружение инцидента ИБ

Наиболее часто об инциденте информационной безопасности свидетельствуют следующие ситуации:

1. Пропажа документов и носителей конфиденциальной информации;

2. Недостаточная или неверная отчетность об утилизации документов или носителей;

Основными источниками информации об инцидентах, связанных с нарушением требований по утилизации бумажных документов и накопителей на магнитных дисках служат специалисты ИБ, сами пользователи организации, либо информация об инциденте может быть получена из внешних источников.

Выявление инцидентов ИБ это сложный творческий процесс, который в основном зависит от следующих факторов:

1. Вид инцидента (умышленный или случайный);

2. Квалификация нарушителя (в случае умышленного инцидента);

3. Квалификация специалиста ИБ;

4. Имеющие в наличие технические средства выявления событий ИБ;

5. Корпоративная политика по ИБ;

6. Обученность пользователей вопросам ИБ.

Выявление инцидента происходит путем сбора всех данных и улик, собранных в процессе опроса персонала организации.

Для сбора информации так же нужно использовать системы видео наблюдения, технические средства охраны и контроля доступом.

1.3 Реагирование на инцидент ИБ

1) Фиксация нарушения.

В первую очередь обязательно нужно зафиксировать факт нарушения.

2) Получение информации о инциденте ИБ.

На данном необходимо получить подробную информацию о произошедшем инциденте от пользователей и, возможно, от посторонних лиц, а именно:

- видел ли кто-нибудь факт уничтожения бумажного документа или магнитного носителя информации;

- в какой момент времени произошёл инцидент;

- какой вред может быть причинён нарушителем;

3) Оценка критичности инцидента ИБ.

Оценка происходит по принятой в организации шкале критичности инцидентов.

После фиксации нарушения необходимо донести всю информацию руководителю, который, при необходимости, оповестит руководителя предприятия.

На данном этапе необходимо предоставить руководителю следующую информацию:

1. Когда этот инцидент произошёл

2. Сущность инцидента

3. Причины инцидента

4. Возможный ущерб

5. Описание действий, которые были предприняты первоначально для предотвращения дальнейших действий нарушителя.

Получив информацию, руководитель должен принять решение о необходимости создания ГРИИБ, либо о расследования инцидента своими силами, т.е. назначить ответственные лица за расследования инцидента ИБ.

Глава 2. Расследование инцидента ИБ

2.1 Расследование инцидента ИБ

Расследование - процесс, целью которого является сбор доказательной базы, подтверждающей или опровергающей факт нарушения политики информационной безопасности, а также определение нарушителя. Расследование инцидента проводится через сбор и анализ данных. Проверяются все собранные данные о том, что произошло, когда произошло, кто совершил неприемлемые действия, и как все это может быть предупреждено в будущем.

Правовые аспекты расследования.

При проведении расследований инцидентов ИБ необходимо учитывать следующие положения конституции РФ:

2) Статья 24. Сбор, хранение и использование информации о частной жизни лица без его согласия не допускается.

3) Статья 29. П.4 Каждый имеет право свободно искать, получать, продавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющий государственную тайну, определяется ФЗ.

4) Статья 55 п.3. Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Также следует принять во внимание Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", а именно:

1) Статья 9. Ограничение доступа к информации

2) Статья 16. Защита информации

3) Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации.

2.2 Порядок действий при расследовании инцидента ИБ

Расследование делится на 2 этапа:

– Сбор данных, свидетельств, улик.

Информация, собранная в ходе 1 этапа служит в дальнейшем для выработки стратегии реагирования на инцидент.

На данном этапе определяется кто, что как, когда, где и почему были вовлечены в инцидент.

В ходе выполнения расследования необходимо выполнить следующие задачи:

1) Проверить возможные журналы регистрации действий с документом;

2) Выяснить, есть ли свидетели произошедшего ИИБ и при их наличии опросить;

3) Установить цели, которые преследовал нарушитель, и причинённый им ущерб;

5) Определить подозреваемых;

6) Установить личность злоумышленника, и принять меры, исключающие повторения им противоправных действий.

7) Составить подробный отчёт об инциденте, содержащий:

- Какое нарушение произошло;

- По какой причине было произведено нарушение;

- В случае, если инцидент обнаружил сотрудник предприятия, уточнить каким образом работник об этом узнал;

- Какие последствия может иметь инцидент, можно ли его немедленно устранить, и каков может быть материальный ущерб.

8) Совместно с начальником ИТ отдела необходимо локализовать инцидент (определить физическое место где инцидент произошёл)

9) Установить, что являлось причиной инцидента (умысел, халатность, случайность, сбой оборудования или что-то другое)

10) В случае выявления умышленных действий, решить вопрос о целесообразности обращения в правоохранительные органы или в коммерческую организацию, проводящую расследование, и составить план взаимодействия.

11) Совместно с начальником ИТ произвести осмотр места инцидента, о чём составить соответствующий протокол. При необходимости произвести осмотр других предметов или помещений, которые могут иметь отношение к данному инциденту.

12) После выявления злоумышленника установить мотивацию его действий, возможных соучастников, использованные им уязвимости. Получить от него письменное объяснение.

13) Принять меры, исключающие повторение подобных инцидентов в будущем.

Заключение

В результате проделанной работы была разработана методика расследования преднамеренных действий, связанных с нарушением требований по утилизации бумажных документов и накопителей на магнитных дисках, содержащих конфиденциальную информацию. Задачей специалиста при расследовании является правильная квалификация инцидента, проведение следственных действий и постановка необходимых вопросов эксперту для получения наиболее полной, необходимой и полезной для расследования информации.

Список используемых источников

1) ГОСТ Р ИСО/МЭК ТО 18044-2007 - Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.

Подобные документы

Эффективность работы по раскрытию незаконных действий с наркотиками. Основные направления документирования преступных действий лиц. Взаимодействие оперативного работника и следователя в процессе расследования наркобизнеса. Обнаружение преступления.

реферат [132,6 K], добавлен 15.07.2011

Понятие и основные принципы обеспечения информационной безопасности. Важнейшие составляющие национальных интересов Российской Федерации в информационной сфере. Общие методы обеспечения информационной безопасности страны. Понятие информационной войны.

реферат [18,8 K], добавлен 03.05.2011

Источники угроз информационной безопасности. Место информационной безопасности в системе национальной безопасности России. Основные проблемы информационной безопасности, пути их решения и организация защиты. Классификация сведений, подлежащих защите.

курсовая работа [47,9 K], добавлен 23.08.2013

Теоретические основы информационной безопасности в Российской Федерации, важность проблемы информационной безопасности в государственном и муниципальном управлении. Нормативно-правовые основы информационной безопасности, методы совершенствования работы.

курсовая работа [46,8 K], добавлен 10.03.2012

Информационное пространство и его эффективность. Национальные интересы Российской Федерации в информационной сфере. Принципы государственной политики обеспечения информационной безопасности. Нормативно-правовые акты об информационной безопасности в РФ.

Д ля компании утечка данных является причиной серьезных финансовых убытков, поэтому требуется не только наладить работу системы защиты, но и продумать все возможные риски и пути утечки данных, а также способы оперативного выявления и устранения факта разглашения или хищения информации.

Основные каналы утечки данных и методы защита

В любой компании существуют четыре типа каналов утечки данных.

Акустический канал, куда относят все случаи общения между сотрудниками, которые могут делиться служебной информацией в рабочих целях. Стоит учесть ситуации, когда сотрудники с более высокими правами доступа к информации нечаянно выдают важные данные другим работникам или конкурентам.

Хищение данных по электромагнитному каналу злоумышленники осуществляют за счет считывания электромагнитных волн и наводок технических средств. Выявление факта утечки происходит уже после того, как конкурент получил и использовал данные против компании. Для защиты применяются стандартные приемы, которые поддерживает большинство автоматизированных систем: экранирование и использование генераторов радиочастотного шума.

Риску утечки по визуально-оптическому каналу чаще всего подвергают крупные IT-корпорации. Конкурентов интересуют прототипы моделей устройств, содержание закрытых совещаний и т.д. Утечка визуального типа невозможна в случае, если предмет интереса находится в помещении, которое полностью изолировано от естественного освещения.

Материально-вещественный канал – это хищение копий документов, моделей, эскизов в физической и электронной форме, а также кража носителей информации с конфиденциальными данным.

Определение факта утечки данных

Факт кражи информации определяется двумя способами.

Сотрудник стал свидетелем инцидента и может указать на злоумышленника. В таком случае есть вероятность поймать вора еще до того, как он передаст коммерческую тайну конкуренту или сделает закрытые данные достоянием общественности.
О хищении становится известно уже после того, как конкурент использовал тайну против компании и был нанесен ущерб. Этот случай встречается наиболее часто, и происходит из-за использования акустического канала утечки или влияния человеческого фактора.

Факт утечки можно определить, просматривая записи с видеокамер. Возможно, сотрудник вынес из помещения копии важных документов и не внес информацию о получении копий в регистрационный журнал. Еще сотрудник часто уносят с рабочего места носители информации: жесткие диски, флешки, оптические диски, служебные ноутбуки.

Предотвращение утечки данных

Прежде всего, утечка информации – это следствие нарушения режима коммерческой тайны и о причина финансовых убытков для компании. В случае выявления факта утечки служба безопасности должна как можно скорее приступить к предотвращению угрозы.

Все мероприятия по предотвращению должны соответствовать действующему законодательству. Важно вовремя применить организационные меры: закрыть доступ к информации из-за опасности повторного хищения и начать разбирательство. На техническом уровне предотвратить утечку могут DLP-системы, которые автоматически определяют попытку несанкционированной передачи данных.

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Расследование утечки данных

На первом этапе разбирательства служба безопасности определяет тип утечки: случайная или намеренная.

Как правило, факт случайной утечки легко выявить, просмотрев отчеты DLP-системы, опросив сотрудников или изучив записи видеонаблюдения, которые фиксируют действия персонала на рабочем месте.

Опрос проводит руководитель службы безопасности или директор предприятия. Не следует указывать причину встречи. На этом этапе эффективно задействовать психологические приемы воздействия и понаблюдать за сотрудником. Неясные ответы, расхождения в фактах – все это указывает на возможного злоумышленника.

Если произошла намеренная кража данных и разглашение уже состоялось, рекомендуется поэтапно выполнить алгоритм действий:

Определить группу сотрудников, которые имели права доступа к похищенным данным.
Опросить каждого работника из выявленной группы.
Сопоставить все полученные показания и выявить главных подозреваемых.
Проверить действия главных подозреваемых за последний период: когда приходили на работу и покидали рабочее место, с какой информацией работали и т.д. – и выявить злоумышленника.
Начать процедуру, чтобы привлечь к ответственности.

В зависимости от масштабов ущерба глава службы безопасности совместно с руководителем определяет меру наказания для виновного в утечке. Виды ответственности включают: материальную (штраф, лишение премии); административную и уголовную.

В случае соответствия проступка административной или уголовной ответственности к расследованию подключают правоохранительные органы. Официальное расследование начинается и в ситуации, когда сотрудник отказывается выплатить материальную компенсацию.

Уголовным кодексом Российской Федерации предусмотрена ответственность по ст.310 УК РФ - за разглашение данных предварительного расследования лицом, предупрежденным в установленном законом порядке о недопустимости их разглашения, если оно совершено без согласия следователя или лица, производящего дознание.

Объектом преступления являются общественные отношения, обеспечивающие тайну предварительного следствия и дознания в целях недопущения воздействия при осуществлении процессуальной деятельности, в том числе при собирании и фиксации доказательств и защиты интересов и безопасности участников предварительного расследования.

Предметом разглашения данных могут быть любые сведения, полученные в ходе досудебного производства: о собранных доказательствах, об источниках этих доказательств, о примененных мерах процессуального принуждения, о планируемых следственных действиях и оперативно-розыскных мероприятиях, об участвующих в производстве предварительного расследования лицах.

Преждевременное, до завершения предварительного расследования, ознакомление участников процесса или лиц, имеющих в уголовном деле непроцессуальный интерес, может привести к уничтожению доказательств, устранению лиц, владеющих ценной для следствия информацией, оказанию незаконного воздействия на участников судопроизводства, подключению различных рычагов влияния на следователя, оперативных сотрудников, прокурора.

Устанавливаемый следователем или дознавателем запрет на разглашение данных может касаться как каких-то определенных сведений, так и любой информации, которая стала или еще станет лицу известной в связи с его участием в предварительном следствии или дознании.

Согласно ч. 3 ст. 161 УПК РФ данные предварительного расследования могут быть преданы гласности лишь с разрешения следователя, дознавателя и только в том объеме, в каком ими будет признано это допустимым, если разглашение не противоречит интересам предварительного расследования и не связано с нарушением прав и законных интересов участников уголовного судопроизводства. Разглашение данных о частной жизни участников уголовного судопроизводства без их согласия не допускается. Такие действия квалифицируются по совокупности преступлений, предусмотренных ст. 310 и 137 УК РФ.

Субъект преступления специальный: лицо, предупрежденное в соответствии со ст. 161 УПК РФ о недопустимости разглашения без соответствующего разрешения ставших ему известными данных предварительного расследования.

Не относятся к числу субъектов преступления, предусмотренного данной статьей, подозреваемый или обвиняемый в совершении преступления, данные предварительного расследования по которому разглашены ими.

Рассматриваемое преступление может быть совершено как с прямым, так и с косвенным умыслом с учетом того, что лицо может не всегда в полной мере осознавать недопустимость разглашения ставших ему известными данных предварительного следствия и относиться к этому безразлично.

Санкция ст.310 УК РФ предусматривает наказание в виде штрафа в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо арестом на срок до трех месяцев

Прокуратура
Челябинской области

Прокуратура Челябинской области

28 ноября 2018, 17:01

Уголовная ответственность за разглашение данных предварительного следствия

Разъясняет заместитель Каслинского горпрокурора Заикина Елена Сергеевна

Хотя бы один раз за весь период работы большинство компаний сталкивалось с инцидентами информационной безопасности. Речь идет об одном, двух и более неожиданных и нежелательных событиях в корпоративной сети, которые приводят к серьезным финансовым и репутационным последствиям. Например, доступ третьих лиц к закрытой информации организации. К классическим примерам можно отнести значительное искажение инфоактивов, а также хищение персональных данных пользователей (клиентской базы, проектная документация).

Угрозы информационной безопасности - ключевые риски

Не только крупные корпорации, но и небольшие фирмы различных организационно-правовых форм и размеров время от времени сталкиваются с кибератаками. Количество пострадавших компаний ежегодно увеличивается. Действия злоумышленников приводят к большим убыткам пострадавших организаций.

Есть несколько основных рисков внутри корпораций и фирм:

Уязвимость программного обеспечения;
Доступ к конфиденциальной информации через работников;
Пренебрежение основными правилами безопасности со стороны сотрудников, что приводит к непреднамеренной утечке корпоративной информации.

Основная проблема многих организаций в том, что в активно развивающемся мире киберугроз, большинство организаций даже не задумывается об информационной безопасности до возникновения инцидента. Поэтому часто нет резервных копий, доступ к данным есть у всех сотрудников, даже если они не пользуются ими в своей работе, а сеть ничем не защищена, и внедрить туда вредоносное ПО или заблокировать работу сервера организации может фактически любой желающий.

Классификация инцидентов

Аномалии, с которыми сталкиваются предприятия можно классифицировать по следующим признакам:

Тип информационной угрозы;
Уровень тяжести инцидентов для работы организации;
Преднамеренность появления угрозы безопасности данных;
Вероятность возникновения повторного "заражения" программного обеспечения;
Нарушенные политики ИБ;
Уровень системы организационных структур, обеспечивающих работу и развитие информационного пространства;
Трудности обнаружения;
Сложность устранения выявленной угрозы, которая может нарушить сохранность ценных данных компании.

Инциденты могут быть как умышленными, так и непреднамеренными. Если обратить внимание на первый вид инцидента, то он может быть спровоцирован разными средствами, техическим взломом или намеренным инсайдом. Оценить масштабы влияния на безопасность и последствия атаки крайне сложно. Утечки информации в виде баз данных на чёрном рынке оцениваются в миллионах рублей .

Существует категорирование инцидентов, позволяющее прописать их в политике безопасности и предотвращать их уже по первым признакам:

1. Несанкционированный доступ. Сюда стоит отнести попытки злоумышленников беспрепятственно войти в систему. Яркими примерами нарушения можно назвать поиск и извлечение различных внутренних документов, файлов, в которых содержатся пароли, а также атаки переполнения буфера, направленные на получение нелегитимного доступа к сети.

2. Угроза или разглашение конфиденциальной информации. Для этого нужно получить доступ к актуальному списку конфиденциальных данных.

3. Превышение полномочий определенными лицами. Речь идет о несанкционированном доступе работников к определенным ресурсам или офисным помещениям.

4. Кибератака, влекущая к угрозе безопасности. Если отмечается поражение вредоносным ПО большого количества ПК компании - то это не простая случайность. Во время проведения расследования важно определить источники заражения, а также причины данного события в сети организации.

Что делать при обнаружении инцидента?

Управление аномальными событиями в сети подразумевает не только оперативное обнаружение и информирование службы информационной безопасности, но и их учет в журнале событий. В журнале автоматически указывается точное время обнаружения утечки информации, личные данные сотрудника, который обнаружил атаку, категорию события, все затронутые активы, планируемое время устранения проблемы, а также действия и работы, направленные на устранение события и его последствий.

Современным компаниям ручной способ мониторинга инцидентов уже не подходит. Так как аномалии происходят за секунды и требуется мгновенное реагирование. Для этого необходимы автоматизированные решения по информационной безопасности, которые непрерывно мониторят все, что происходит в сети организации оперативно реагируют на инциденты, позволяя принимать меры в виде блокировки доступа к данным, выявления источника события и быстрого расследования, в идеале до совершения инцидента.

После расследования, выполняя правила корреляции, которые свидетельствуют о вероятных попытках причинения вреда безопасности данных подобными способами, создается карточка данного инцидента и формируется политика безопасности. В дальнейшем подобные атаки будут подавлены и приняты меры до совершения активных действий со стороны сотрудников и внешних источников угроз.

Реагирование на утечку данных

При обнаружении нарушений в сети организации рекомендован следующий алгоритм действий со стороны службы информационной безопасности:

1. Фиксация состояния и анализ информационных ресурсов, которые были задействованы.

2. Координация работы по прекращению влияния информационных атак, проведение которых спровоцировало появление инцидента.

3. Анализ всего сетевого трафика.

4. Локализация события.

5. Сбор важных данных для установления причин происшествия.

6. Составление перечня мер, направленных на ликвидацию последствий инцидента, который нанес урон.

7. Устранение последствий.

8. Контроль устранения последствий.

9. Создание политик безопасности и подробного перечня рекомендаций, направленных на совершенствование всей нормативной документации.

Выявление причин инцидента безопасности

Анализ ситуации позволяет оценить риски и возможные последствия инцидента.

После того, как последствия события полностью устранены, обязательно проводится служебное расследование. Оно требует привлечения целой команды опытных специалистов, которые самостоятельно определяют порядок изучения фактов и особенностей произошедшего. Дополнительно используются всевозможные публичные отчеты, аналитические средства, потоки сведений обо всех угрозах, а также другие источники, которые могут пригодиться в процессе изучения конкретного кейса. Квалифицированные специалисты устраняют вредоносное программное обеспечение, закрывают возможные уязвимости и блокируют все попытки нелегитимного доступа.

По факту расследования составляют перечень мер, направленных на профилактику аналогичных кибератак. Дополнительно составляется список действий моментального реагирования в случае, если имело место проникновение вредоносного ПО в систему. Нужно провести обучение персонала фирмы для повышения киберграмотности.

Решения для информационной безопасности организации

Для предотвращения инцидентов ИБ необходимо внедрить специализированные решения, способные в реальном времени выявлять и реагировать на них даже по первым признакам до непосредственного хищения или других мошеннических действий.

"Гарда Технологии"- российский разработчик систем информационной безопасности от внутренних и внешних угроз, который предлагает комплексные решения по защите от утечек информации, защите баз данных и веб-приложений, защите от DDoS-атак и анализу и расследованию сетевых инцидентов. Решения интегрируются друг с другом, образуя комплексное решение - экосистему безопасности.

Внедрение решений по информационной безопасности позволяет избежать многочисленных финансовых и репутационных рисков.

Читайте также: