Аннотация: Обнаружение инсайдерских угроз и противодействие им – сложная задача, с которой сталкиваются специалисты в области информационной безопасности как в коммерческом секторе, так и в государственных организациях. Современные организации зависят от информационных технологий и своих информационных активов, что делает проблему противостояния инсайдерам всё более актуальной. Выявление инсайдеров может осуществляться путем внедрения комплекса как технических, так и организационных мер. В статье предлагается использование данных из журналов работы программных средств защиты информации и других средств мониторинга для выявления инсайдерских угроз и выделяется набор индикаторов, указывающих на наличие подозрительных действий работников. Предложенный в статье набор технических индикаторов (показателей) может быть использован для построения системы логических правил или правил нечеткого вывода, позволяющих осуществлять выявление инсайдеров в организации. Внедрение механизмов анализа предложенных индикаторов позволит повысить эффективность работы администратора информационной безопасности и позволит предотвращать инциденты, связанные с реализацией инсайдерских угроз.

Abstract: Detecting insider threats and countering them is a complex task faced by information security experts in both the commercial sector and government organizations. Modern organizations depend on information technology and their information assets, which makes the problem of confronting insiders all the more urgent. Identification of insiders can be carried out by introducing a complex of both technical and organizational measures. The article proposes the use of data from the work logs of information protection software and other monitoring tools to identify insider threats and highlights a set of indicators indicating the presence of suspicious employee actions. The set of technical indicators (indicators) proposed in the article can be used to build a system of logical rules or fuzzy inference rules that allow identifying insiders in an organization. The introduction of mechanisms for analyzing the proposed indicators will improve the efficiency of the information security administrator and will help prevent incidents related to the implementation of insider threats.