Типы нарушителей информационной безопасности

Анализ угроз информационной безопасности

Защита данных
на базе системы

П остроение систем защиты информации начинается с создания модели угроз. Для предприятий риски зависят от сферы деятельности и готовности информационной системы к отражению атак. Модель необходимо строить, с учетом результатов анализа угроз информационной безопасности и после классификации типов нарушителей.

Понятие и источники рисков

Под угрозой ИБ понимается совокупность условий и факторов, реализация которых приводит к ситуации, в которой информационная безопасность организации оказывается в зоне риска. Результатом реализации риска оказывается событие, наступление которого имеет экономические или иные неблагоприятные последствия для человека, организации или государства. Формат ущерба для информации может быть трояким – утечка, изменение или нарушение уровня доступности. Но последствия оказываются разнообразными – от техногенных аварий до потери средств с карточных счетов или разглашения компрометирующей информации.

В процессе анализа угроз информации необходимо оценить:

  • источник риска;
  • зону риска;
  • гипотетическую фигуру злоумышленника;
  • вероятность реализации риска;
  • степень ущерба от его реализации;
  • соотношение расходов, необходимых для минимизации риска, и убытка, причиняемого в случае его реализации.

Анализировать позиции можно качественными и количественными методами.

Источники

Традиционно основным источником угроз считаются международные или национальные хакерские группировки. Однако на практике ситуация иная, все чаще на первый план выходят криминальные группировки или иностранные технические разведки. Эксперты выделяют называют три группы источников:

  • антропогенные (внутренние и внешние);
  • техногенные;
  • стихийные.

Антропогенные источники угроз информационной безопасности – это граждане или организации, случайные или намеренные действия или бездействие которых приводят к реализации рисков ИБ, с ними можно связать до 95% инцидентов. По данным исследований, до 80 % утечек имеют внутреннее, инсайдерское, происхождение.

Если риски, инициируемые сотрудниками, прогнозируемы и могут быть устранены очевидными программными и техническими средствами, внешние источники непредсказуемы, к ним относятся:

  • хакеры;
  • конкуренты;
  • криминальные структуры;
  • недобросовестные поставщики и подрядчики;
  • консалтинговые, оценочные компании, иные бизнес-структуры, оказывающие услуги на аутсорсинге;
  • провайдеры облачных услуг, при этом атака хакеров на их инфраструктуру одновременно окажется атакой на клиентов;
  • проверяющие организации, ФНС и силовые структуры.

Чем более квалифицирован специалист и чем выше его позиция в табели о рангах организации, тем больше возможностей он имеет для причинения ущерба предприятию, на страницах СМИ часто появляются ситуации, когда топ-менеджер похищает доверенную ему информацию, как произошло в конфликте Google, чьи разработки беспилотных автомобилей были переданы Uber.

Техногенные угрозы сложнее спрогнозировать, но проще предотвратить. К ним относятся технические средства, внутренние и внешние.

К внутренним относятся:

  • несертифицированное и нелицензионное ПО;
  • лицензионное ПО, имеющее известные хакерам изъяны или незадекларированные возможности;
  • средства контроля за работоспособностью информационных сетей со слабыми возможностями мониторинга, отказ от своевременного и четкого реагирования на их сигналы;
  • некачественные средства наблюдения за помещениями и сотрудниками;
  • неисправное или некачественное оборудование.
  • каналы связи;
  • инженерно-технические сети;
  • провайдеры интернет-услуг и облачных технологий.

Чтобы нивелировать риски, связанные с техническими источниками угроз, следует обращать внимание на рекомендации ФСТЭК и ФСБ при выборе программных и технических средств.

Для контроля событий в программных и аппаратных источниках удобно использовать SIEM-систему. «СёрчИнформ SIEM» обрабатывает поток событий, выявляет угрозы и собирает результаты в едином интерфейсе, что ускоряет внутренние расследования.

Стихийные источники угроз наименее прогнозируемы, к ним относятся стихийные бедствия и иные форс-мажорные обстоятельства.

Зона риска

При анализе зоны риска нужно установить объект, на который направлена гипотетическая угроза. С технической точки зрения объектами становятся информация, оборудование, программы, каналы связи, системы управления и контроля.

Классическими «жертвами» злоумышленников становятся признаки доброкачественности информации:

  • конфиденциальность. Этот риск реализуется при неправомерном доступе к данным и их последующей утечке;
  • целостность. В результате реализации риска данные могут быть утрачены, модифицированы, искажены, и принимаемые на их основе решения, управленческие или технические, окажутся неверными;
  • доступность. Доступ к данным и услуге блокируется или утрачивается.

При определении сектора реализации угрозы требуется дополнительно оценить степень важности данных, их стоимость. Это позволит провести более точный анализ угроз информационной безопасности.

При анализе зон риска нужно также принимать во внимание:

  • объем текущей зоны контроля за информационной безопасностью и перспективы ее расширения в случае увеличения организации, появления новых предприятий или сфер деятельности;
  • особенности функционирования программно-технических средств и их совместимость, перспективы возникновения новых угроз, новых требований регуляторов, направлений развития рынка информационных технологий;
  • возникновение зон информационного периметра, вне защитных мер;
  • непредсказуемость точек атаки, их количество и рост;
  • особенности управления сложными, многообъектными сетями.

Факторы реализации риска изменчивы, поэтому их анализ должен происходить с установленной в компании регулярностью.

Классификация нарушителей

Провести анализ угроз информационной безопасности невозможно, если не опираться на понимание типов и роли нарушителей ИБ. В России существует две классификации нарушителей, они предложены регуляторами – ФСТЭК РФ и ФСБ. Объединение классификаций позволит создать оптимальную модель, учитывающую большинство рисков, и поможет разработать методику устранения большинства угроз. Если компания работает с криптографическими средствами, сертифицируемыми ФСБ РФ, ей придется учитывать в своей модели угроз характеристики нарушителя, предложенные этим ведомством. В большинстве случаев при защите персональных данных или коммерческой тайны, при анализе угроз конфиденциальности информации модель ФСТЭК окажется исчерпывающей.

Ведомство классифицирует нарушителей по их потенциалу (низкий, средний, высокий). Он влияет на набор возможностей, перечень используемых технических, программных и интеллектуальных средств.

Большинство угроз генерируется нарушителями с низким потенциалом. Они связаны с возможностью получения ресурсов для неправомерного доступа к информации только из общедоступных источников. Это инсайдеры и взломщики, использующие интернет-ресурсы, для мониторинга работоспособности системы, распространяющие вредоносные программы.

Нарушители со средним потенциалом способны проводить анализ кода прикладного программного обеспечения, кода сайта, самостоятельно находить в нем ошибки и уязвимости и использовать их для организации утечек. К этим группам ФСТЭК относит хакерские группировки, конкурентов, применяющих незаконные методы добычи информации, системных администраторов, компании, по заказу разрабатывающие программное обеспечение.

Высокий потенциал характеризуется способностью вносить «закладки» в программно-техническое обеспечение системы, организовывать научные исследования, направленные на сознательное создание уязвимостей, применять специальные средства проникновения в информационные сети для добычи информации.

Ведомство считает, что к категории нарушителей с высоким потенциалом могут относятся только иностранные разведки. Практика добавляет к ним еще и военные ведомства зарубежных стран, по чьему заказу иногда действуют хакеры.

ФСБ классифицирует нарушителей информационной безопасности по возможностям и степени нарастания угроз:

1. Атаки на данные могут проводиться только вне зоны криптозащиты.

2. Атаки организовываются без физического доступа к средствам вычислительной техники (СВТ), но в пределах зоны криптозащиты, например, при передаче данных по каналам связи.

3. Атаки реализуются при доступе к СВТ и в зоне работы криптозащиты.

4. Нарушители обладают перечисленными возможностями и могут прибегать к помощи экспертов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН (побочных электромагнитных излучений и наводок).

5. Нарушители также могут привлечь специалистов, способных находить и использовать незадекларированные возможности (НДВ) прикладного ПО.

6. Злоумышленники работают с экспертами, способными находить и применять НДВ аппаратного и программного компонентов среды функционирования средств криптографической защиты.

Исходя из предполагаемого класса нарушителя, необходимо выбрать класс применяемых СКЗИ, они также классифицируются по уровню злоумышленников. При анализе угроз информационной безопасности и формировании модели угроз параметры ФСТЭК и ФСБ могут быть объединены.

В большинстве случаев компании не угрожают злоумышленники с высоким потенциалом по классификации ФСТЭК и из 4-6 групп по классификации ФСБ. Поэтому, анализ производится исходя из низкого или среднего потенциала инсайдеров или хакеров. Для государственных информационных систем уровень рисков окажется выше.

Иногда при анализе вероятности реализации угрозы требуется еще несколько категорий угроз конфиденциальности информации:

  • по степени воздействия на ИС. При реализации пассивных угроз архитектура и наполнение системы не меняются, при активных они частично уничтожаются или модифицируются;
  • по природе возникновения – естественные и искусственные. Первые крайне редки, вторые наиболее вероятны, при этом ущерб от реализации первых оказывается выше, часто проявляясь в полной гибели данных и оборудования. Такие угрозы при их вероятности, например, в сейсмоопасных районах создают необходимость постоянного резервного копирования;
  • непреднамеренные и преднамеренные.

Целесообразно опираться на статистику, показывающую вероятность реализации того или иного риска.

Анализ вероятности реализации угрозы и ущерба от ее возникновения

На первых этапах анализа используются качественные методы, исследование, сравнение, обращение к собранным экспертами данным позволит оценить реальные риски для бизнеса.

Количественные методы анализа помогут в ситуации, когда нужно определить:

  • какова вероятность возникновения угрозы того или иного типа;
  • какой ущерб может быть причинен компании, если риск окажется серьезным.

Для решения первой задачи потребуется статистика. В отчетах компаний, оказывающих информационные услуги, приводится квартальная или полугодовая статистика по тем рискам, которые наиболее часто реализовывались в истекшем периоде и прогнозируются на будущий. Часто такая статистика предоставляется по отраслям. В этих отчетах могут быть представлены цифры ущерба, причиненного экономике, отрасли или отдельному предприятию при реализации угрозы. Эти цифры далеко не всегда верны, многие компании утаивают реальные данные, опасаясь репутационных рисков. Но даже в усеченном виде открытые цифры помогут оценить реальный риск утечки данных.

В случае утраты доступности информации можно посчитать убытки или неполученную прибыль и понять, какая сумма может быть потеряна, если меры обеспечения информационной безопасности не будут приняты своевременно. Также анализ поможет понять, насколько экономически эффективно применять более сложные системы защиты,

При анализе угроз информационной безопасности, необходимо опираться на рекомендации регуляторов и реальную ситуацию в бизнесе или в государственной организации. Это сделает результат исследования релевантным и позволит избежать ненужных или незапланированных расходов. Бюджет, потраченный на анализ рисков, возвратится, позволив сократить расходы на оборудование или программы, которые не будут необходимыми в реальных условиях.

Проверить, все ли в порядке с защитой данных в компании, можно во время 30-дневного бесплатного теста «СёрчИнформ КИБ».

ФСТЭК – утверждена новая методика оценки угроз

Методический документ, определяющий методику оценки угроз безопасности информации, был подписан ФСТЭК России 5 февраля 2021г. Это событие открыло новые двери для специалистов в области ИБ, которые занимаются анализом потенциальных угроз для важных объектов информационной инфраструктуры.

Раньше для определения потенциальных угроз безопасности информации использовали одну из следующих методик:

методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (2008 года);
методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (2007 года).
Данные документы узкоспециализированные и ограничивают область работы с различными типами объектов, а также к 2021 году по ряду аспектов утратили свою актуальность.

Новая методика более универсальна и работает со следующими типами объектов:

  • информационные системы (ИС);
  • автоматизированные системы управления;
  • информационно-телекоммуникационные сети;
  • информационно-телекоммуникационные инфраструктуры центров обработки данных;
  • облачные инфраструктуры.

Также методика применима для следующих областей:

  • информационные системы персональных данных;
  • информационные системы управления производством, используемые организациями оборонно-промышленного комплекса;
  • муниципальные и государственные ИС;
  • значимые объекты критической информационной инфраструктуры РФ;
  • критически важные, потенциально опасные объекты с автоматизированными системами управления производственными и технологическими процессами.

Утвержденная методика оценки потенциальных угроз начала активно использоваться специалистами в области ИБ. Прежние методики перестали применять при подготовке документации, однако модели угроз, разработанные с их применением, не теряют своей актуальности и продолжают действовать. Они должны быть скорректированы только в случае изменения соответствующей инфраструктуры.

Этапы оценки угроз безопасности информации по обновленной методики:

определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
определение возможных объектов воздействия угроз безопасности информации;
оценка возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.
Этап оценки возможности реализации (возникновения) и актуальности угроз состоит из трех подэтапов, которые описаны далее.

1. Выявление источников угроз безопасности информации.

Новая методика ориентирована на оценку угроз безопасности, которые обусловлены действиями нарушителей, и поэтому не включает в себя ряд факторов, не зависящих от человека:

угрозы безопасности, связанных с природными явлениями и стихийными бедствиями;
угрозы безопасности криптографических средств защиты;
угрозы безопасности, связанных с техническими каналами утечки данных.
Также стоит отметить, что право включения техногенных угроз в модель угроз ИБ остается за оператором систем и сетей или владельцем информации

В результате определения источников угроз ИБ выявляются:

а) виды потенциальных нарушителей и возможные цели реализации ими угроз безопасности информации, а также их возможности

б) категории потенциальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы

2. Оценка способов реализации угроз безопасности информации.

На данном этапе определяются:

а) виды и категории нарушителей, способных применить актуальные способы;

б) актуальные способы осуществления угроз ИБ и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы.

3. Оценка актуальности угроз безопасности информации.

Угроза считается допустимой, если на этапах оценки были обнаружены следующие признаки:

  • присутствует объект воздействия угроз;
  • присутствует непосредственно нарушитель или другой источник угрозы;
  • обнаружены пути осуществления угрозы ИБ;
  • осуществление угрозы может привести к негативным последствиям.

Если обнаружены сценарии реализации угрозы ИБ, то угроза считается актуальной. Сценарии должны быть определены для всех способов осуществления угроз, относительно объектов и видов воздействия. Сценарий определяется путем установления возможных тактик, потенциально применимых нарушителем для создания угрозы, с определением уровня возможностей для реализации угроз безопасности информации. При обнаружении минимум одного сценария угроза считается актуальной и включается в формируемую модель угроз.

Результаты, полученные в ходе оценки угроз, заносятся в модель угроз, для которой существует рекомендуемая структура, определенная новой методикой. Данный документ должен поддерживаться в актуальном состоянии и при необходимости обновляться.

Отметим, что оценка угроз может осуществляться как владельцем информации самостоятельно, так и с привлечением сторонних организаций. Стоит отметить, что сторонние организации не должны иметь лицензию на техническую защиту конфиденциальной информации в обязательном порядке. Несмотря на то, что на этапе проектирование методики планировалось ввести обязательное лицензирование организаций, требование решили отменить. Это связано с тем, что моделирование угроз не является лицензируемым видом деятельности, поэтому нововведение вызвало шквал недоумения.

Главные достоинства новой методики:

  • универсальна и применима для широкого круга областей;
  • наглядные примеры для выполнения каждого из подэтапов оценки потенциальных угроз;
  • рекомендации о применении экспертного метода;
  • нацеленность на оценку негативных последствий угроз.

Положительные стороны новой методики обусловлены продуманным и трудоемким процессом оценки потенциальных угроз, требующим специальных знаний в информационной безопасности.

Для правильной оценки угроз безопасности информации обращайтесь к специалистам своего дела. ООО «СофтМолл» поможет выявить актуальные угрозы и провести их оценку.

Последние новости:

Эксперимент по созданию платформы «ГосТех» проходит по графику

Минцифры России сообщает, что эксперимент по созданию платформы «ГосТех» проходит в соответствии с запланированным графиком. Для участников эксперимента уже раз .

В России появится алгоритм для прогнозирования цен на товары и услуги

Аналитический центр при Правительстве Российской Федерации по поручению Правительства совместно с Минэкономразвития и другими федеральными органами исполнительн .

модель нарушителя информационной безопасности

Общее

Попытка реализовать несанкционированный доступ к информационным сетям с целью что ли бо сделать с данными в сети есть компьютерное пиратство. Прослеживая это социальное явление есть тенденция к стремительному росту атак на информационные сети. Компьютерных злоумышленников не интересует как хорошо реализован контроль информационной системы, они ищут одну лазейку которая даст им нужную цель. Используя разные факторы они реализуют преступления, которые как считают они, легче чем ограбление банка в живую. При этом могут быть использованы методы вымогательства или взяточничества. Мало предприятий, где высшее руководство верит в то, что их предприятие может понести убытки из-за хакеров, а еще меньше которые интересовались вопросом угрозы информационной безопасности и проблемы защиты информации в сетях. Множество менеджеров под воздействием информационных волн считают, что нарушители это школьники, и против них нужно бороться. В зависимости от целей или мотивов, действия нарушителя делят на:

  • Идейные хакеры.
  • Искатели приключений.
  • Хакеры — профессионалы.
  • Ненадежные сотрудники.

Искатель приключений, он обычно молодой студент или школьник, без продуманного плана реализации атак. Выбирает случайную цель. Идейный хакер — Он выбирает конкретные цели. Свои достижения рассказывает широкой аудитории или размещает данные на веб ресурсах. Хакер-профессионал — человек с четким планом действий. Атаки продуманы в несколько этапов. Сбор информации и сам взлом. Обычно такие люди финансируются для целей, которые ему не свойственны, но ему платят. Ненадежный сотрудник — его действие могут иметь большие последствия, так как он доверенное лицо системы. Ему не нужно выдумывать сложные атаки для реализации своей цели. Еще одна модель нарушителя показана на рис.1.

Нарушитель, обычно специалист определенной квалификации, которые пытается узнать все о информационной системе и о средствах защиты информации.

Также у служащих, можно выделить следующие мотивы для помощи злоумышленникам:

  • Реакция на замечание или выговор от руководителя.
  • Недовольство действиями руководства.

Руководитель как неудовлетворяющий сотрудника, одна из самых больших угроз в системе коллективного пользования.

Компьютерные атаки обычно сильно спланированы и реализуются со знанием сферы деятельности. Мотивом нарушения обычно есть деньги. Все злоумышленники пытаются свести свой риск к минимуму. В современных информационных системах, где очень сложные системы защиты и других методов совершения транспортировки информации, существует дополнительный риск, что с изменением одного элемента системы может привести к сбою работы других элементов. Многие года шпионаж реализуется как метод, которые вынуждает идти сотрудников за минимальное вознаграждение.

Модель

Модель вероятного нарушителя ИС нужна для систематизации данных о возможностях и типах субъектов, целях несанкционированных воздействиях и выработки адекватных организационных и технических методов противодействия. При разработке модели нарушителя ИС нужно учитывать:

  • Категории лиц, к которым можно отнести нарушителя.
  • Цели, градации по степени опасности и важности.
  • Анализ его технической мощности.
  • Предположения и ограничения о характере действий.

По наличию права разового или постоянного доступа нарушители делятся на два типа: нарушители которые используют внешние угрозы и нарушители которые имеют доступ к ИС и используют внутренние угрозы. В таблице 1 наведены категории лиц которые могут использовать внутренние или внешние угрозы.

Тип нарушителя Категории лиц
Внешний криминальные структуры; посетители; Разведывательные службы государств; лица, случайно или умышленно нарушившие пропускной режим; любые лица за пределами контролируемой территории.
Внутренний персонал, обслуживающий технические средства (инженеры, техники); сотрудники отделов; администраторы ИС; сотрудники службы безопасности; руководители различных уровней должностной иерархии.

На предприятиях с целью уменьшения вероятности несанкционированного доступа в разные части предприятия, реализован метод создания рубежей защиты. Территория предприятия делится на несколько зон, которые ранжированные по степени секретности и уровня доступа. В итоге имеет возможность для разграничения доступа к важным информационным ресуарсам. Примером может быть рис. 2.

В таблице наведены группы внутренних нарушителей относительно рубежей защиты предприятия и возможности доступа.

# Обозначение Рубеж Характеристика нарушителя Возможности
1 M1 Территория объекта, телекоммуникации Лица которые имеют санкционированный доступ на территорию, но не имеют доступ в здания и помещения Разрешает несанкционированный доступ к каналам связи, которые уходят за пределы здания. Перехват данных по техническим каналам
2 M2 Здания объекта, телекоммуникации Лица имеют санкционированный доступ на территорию, здания но не имеют доступ в служебные помещения -//-, иметь информацию о размещении поста охраны, системе видеонаблюдения и помещении для приема посетителей
3 M3 Представительские помещения, ПЭВМ, коммуникации Лица имеют доступ в специальные помещения, но не имеют доступ в служебные помещения -//-
4 M4 Кабинеты пользователей ИС, администраторов ИС 1. Зарегистрированные пользователи ИС, имеющие ограниченный доступ к ресурсам. 2. Зарегистрированные пользователи ИС которые имеют удаленный доступ к информационной системе. 3. Зарегистрированные пользователи ИС с правами админа безопасности сегмента. 4. Зарег. пользователи с правами сис. админа ИС. 5. Зарег. пользователи с правами админа безопасности ИС. 6. Программисты-разработчики ПО. 7. Лица реализующие обслуживание ИС 1. Иметь доступ к кускам конфиденциальным данным. Иметь куски данных о топологии ИС. Вносить программно-аппаратные закладки. 2. Имеет данные о топологии сегмента, имеет физический доступ к сегментам и элементам сети. 3. Имеет полную информации о ИС. 4. Имеет всю информацию о ИС, имеет полный доступ. 5. Имеет доступ к методам защиты ИС 6. Имеет данные о алгоритмах и ПО для обработки данных в ИС 7. Имеет доступ к внесению закладок в технические средства ИС
5 M5 Серверные, комнаты конфиденциальных переговоров, ПЭВМ 1. Зарег. польз. с правами администратора безопасности. 2. Зарег. польз. с правами сис. админа. 3. Работники которые имеют право доступа в помещения конфиденциальных переговоров 1. Имеет доступ к настройке сегмента сети. 2. Имеет санкционированный доступ в помещение, имеет свое ипя пользователи и доступ к конфигурации ИС. 3. Имеет доступ в помещение
6 M6 Методы защиты информации Зарег. польз. сервера с правами админа безопасности ИС Имеет доступ во все помещения, имеет доступ ко всей информации о ИС

Итоги

После систематизации знаний о потенциальных нарушителей для ИС, реализуется модель безопасности информации. После построения модели угроз, определяется частота возникновения угроз. Определяя частоту реализации угроз, нужно учитывать возможности нарушителя.

Модель нарушителя информационной безопасности

Неформальная модель нарушителя информационной безопасности

Нарушитель информационной безопасности — это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов или ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Система защиты должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.):

1. «Неопытный (невнимательный) пользователь» – пользователь ККС ОАО «СИБИРЬТЕЛЕКОМ», зарегистрированный как пользователь системы, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам ККС с превышением своих полномочий, ввода некорректных данных и т.п., по ошибке, некомпетентности или халатности, без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства.

2. «Любитель» – пользователь ККС ОАО «СИБИРЬТЕЛЕКОМ», зарегистрированный как пользователь системы, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства.

3. «Мошенник» – пользователь ККС ОАО «СИБИРЬТЕЛЕКОМ», зарегистрированный как пользователь системы, который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого сотрудника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).

4. «Внешний нарушитель (злоумышленник)» — постороннее лицо, возможно зарегистрированное как пользователь системы (например, сотрудник сторонней организации, являющейся информационным посредником ОАО СИБИРЬТЕЛЕКОМ), действующее целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Внешний нарушитель может использовать весь набор способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования, включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети ККС ОАО «СИБИРЬТЕЛЕКОМ».

5. «Внутренний злоумышленник» – пользователь ККС ОАО «СИБИРЬТЕЛЕКОМ», зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками Общества. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и извне — из сетей общего пользования.

Внутренним злоумышленником может быть лицо из следующих категорий сотрудников ОАО «СИБИРЬТЕЛЕКОМ»:

  • зарегистрированные конечные пользователи ККС Общества;
  • сотрудники подразделений ОАО «СИБИРЬТЕЛЕКОМ» не допущенные к работе с ККС Общества;
  • информационные посредники (персонал, обслуживающий технические средства ККС Общества);
  • сотрудники Департамента безопасности;
  • руководители различных уровней.

Категории лиц, которые могут быть внешними нарушителями:

  • уволенные сотрудники;
  • технический персонал, обслуживающий здания (уборщицы, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты ККС ОАО «СИБИРЬТЕЛЕКОМ»);
  • представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности ОАО «СИБИРЬТЕЛЕКОМ» (энерго-, водо-, теплоснабжения и т.п.);
  • посетители (приглашенные представители организаций, представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.);
  • члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию;
  • лица, умышленно проникшие в сети ККС ОАО «СИБИРЬТЕЛЕКОМ» из внешних (по отношению к ней) сетей телекоммуникации (хакеры).

Пользователи и информационные посредники из числа сотрудников ОАО «СИБИРЬТЕЛЕКОМ» имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами или спецслужбами.

Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа. Полученные в ОАО «СИБИРЬТЕЛЕКОМ» знания и опыт выделяют их среди других источников внешних угроз.

Конкуренты и Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников Общества всеми доступными им силами и средствами.

Профессиональные хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в ККС. Наибольшую угрозу представляют при взаимодействии с работающими и уволенными сотрудниками ОАО «СИБИРЬТЕЛЕКОМ» и криминальными структурами.

Внешние информационные посредники (организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем) представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Конкуренты, криминальные структуры и спецслужбы могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации.

Принимаются следующие ограничения и предположения о характере действий возможных нарушителей:

  • работа по подбору кадров и специальные мероприятия исключают возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий двух и более нарушителей — сотрудников ОАО «СИБИРЬТЕЛЕКОМ» по преодолению системы защиты;
  • нарушитель скрывает свои несанкционированные действия от других сотрудников ОАО «СИБИРЬТЕЛЕКОМ»;
  • несанкционированные действия могут быть следствием ошибок, как пользователей, так и информационных посредников, а также недостатков принятой технологии обработки, хранения и передачи информации;
  • в своей противоправной деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.

Параграф. 3.3. Классификация нарушителей безопасности

При разделении нарушителей безопасности по классам можно исходить из его принадлежности определенным категориям лиц, мотивов действий и преследуемых целей, характера методов достижения поставленных целей, квалификации, технической оснащенности и знаний об атакуемой информационной системе.
Прежде всего, разделим нарушителей на внутренних и внешних. По данным многих источников и статистических исследований, отношение внутренних инцидентов к внешним оценивается примерно в 75%. Мы бы рассматривали в данном случае классическую пропорцию 80 к 20, так как факты многочисленных нарушений часто скрываются организациями или для поддержания имиджа приписываются внешним источникам.
Потенциально к внутренним нарушителям относятся сотрудники самой организации или сотрудники организаций из сферы ИТ, предоставляющие телекоммуникационные и иные информационные услуги.

Среди внутренних нарушителей в первую очередь можно выделить:
• непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней;
• администраторов вычислительных сетей и информационной безопасности;
• прикладных и системных программистов;
• сотрудников службы безопасности;
• технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до ремонтной бригады;
• вспомогательный персонал и временных работников.

Среди причин, побуждающих сотрудников к неправомерным действиям, можно указать следующие:
• безответственность;
• ошибки пользователей и администраторов;
• демонстрация своего превосходства (самоутверждение);
• «борьба с системой»;
• корыстные интересы пользователей системы;
• недостатки используемых информационных технологий.

Для предотвращения нарушений необходимо проводить специальную подготовку персонала, поддерживать здоровый рабочий климат в коллективе, проводить тщательный отбор нанимаемых сотрудников, своевременно обнаруживать злоумышленников.
Группу внешних нарушителей могут составлять:
• клиенты;
• приглашенные посетители;
• представители конкурирующих организаций;
• сотрудники органов ведомственного надзора и управления;
• нарушители пропускного режима;
• наблюдатели за пределами охраняемой территории.
По рекомендации экспертов в области информационной безопасности, особое внимание следует обращать на вновь принимаемых сотрудников в следующих профессиях: администраторы, программисты, специалисты в области компьютерной техники и защиты информации. Известны случаи внедрения сотрудников, работающих на конкурентов, поступления на работу хакера-одиночки или представителя хакерской группы. Чрезвычайную опасность представляют специалисты подобного уровня при вхождении в сговор с руководством подразделений и службы безопасности банка, а также с организованными преступными группами. В данном случае возможный ущерб и тяжесть последствий многократно увеличиваются.
Руководство, должно четко себе представлять, от каких видов нарушений необходимо защититься в первую очередь.
Типы нарушителей могут сильно отличаться, варьироваться по составу, возможностям и преследуемым целям. От одиночного нарушителя, действующего удаленно и скрытно, до хорошо вооруженной и оснащенной силовой группы, действующей молниеносно и напролом. Нельзя не учитывать возможности сговора между нарушителями, относящимися к различным типам, а также подкупа и реализации других методов воздействия.
Далее классификацию можно проводить по следующим параметрам.

Используемые методы и средства:
• сбор информации и данных;
• пассивные средства перехвата;
• использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;
• активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и «черных ходов» в систему, подключение к каналам передачи данных.

Уровень знаний нарушителя об организации информационной структуры:
• типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;
• высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;
• высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;
• обладание сведениями о средствах и механизмах защиты атакуемой системы;
• нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.

Время информационного воздействия:
• в момент обработки информации;
• в момент передачи данных;
• в процессе хранения данных (учитывая рабочее и нерабочее состояния системы).

По месту осуществления воздействия:
• удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;
• доступ на охраняемую территорию;
• непосредственный физический контакт с вычислительной техникой, при этом можно выделить:
• доступ к терминальным операторским станциям,
• доступ к важным сервисам предприятия (сервера),
• доступ к системам администрирования, контроля и управления информационной системой,
• доступ к программам управления системы обеспечения информационной безопасности.

Создание модели нарушителя или определения значений параметров нарушителя в большой мере субъективно. Модель необходимо строить с учетом технологий обработки информации и особенностей предметной области.
Рассмотрим более подробно возможные схемы действий злоумышленника, использующего удаленное проникновение в информационную систему банка.
Начнем с самого простого варианта.
Это хакер-одиночка, обладающий стандартным персональным компьютером, выделенным каналом выхода в Интернет. Данный тип злоумышленников очень сильно ограничен в финансовом плане. Он необязательно обладает глубокими знаниями в области компьютерных технологий, чаще всего использует готовые компьютерные программы, доступные из Интернета, для реализации угроз через давно известные уязвимости. Вряд ли такой тип нарушителя обладает достаточными знаниями о построении информационной системы и разнообразных структура систем защиты информации. Его действия больше носят экспериментальный характер, он не стремится получить доступ к определенной информации или модифицировать ее с целью извлечения выгоды. Ему просто интересно провести некоторые действия с информационной системой, недоступными и неиспользуемыми простыми пользователями Интернета. Характер действия — скрытый, в меру своих способностей. Чаще всего останавливается после проведения первого успешного воздействия.
Для борьбы с подобными «исследователями» администраторам безопасности необходимо четко выполнять правила, предписанные политикой безопасности организации. Устанавливать самые последние версии используемых программных продуктов и ОС, а также выпускаемые к ним исправления и расширения. Отслеживать публичные списки обнаруживаемых уязвимостей в аппаратных и программных продуктах известных производителей и совершать рекомендуемые действия для предотвращения реализации угроз с использованием обнаруженных уязвимостей.
Следующий по опасности тип злоумышленника — это объединенная хакерская группа. Исследуемый тип злоумышленников достаточно скован в своих финансовых возможностях. Она еще не обладает вычислительными мощностями уровня крупного предприятия и подобным пропускным каналом в Интернет. Но обладание суммарными знаниями в области компьютерных технологий представляют большую опасность. Такие злоумышленники используют всевозможные приемы для организации сканирования информационных систем с целью выявления новых уязвимостей, применяются также методы реализации угроз через уже известные уязвимости. Они в состоянии написать программы, которые используют обнаруженные уязвимости: сетевые черви, вирусы и другие вредоносные программные средства. Для выполнения своих планов они могут встраивать вредоносные программы в вычислительные системы своих жертв. При использовании таких программ они могут получить доступ к большим компьютерным мощностям. Чаше всего это построенные «бот-сети» обычных пользователей Internet, у которых были обнаружены еще не исправленные уязвимости.
Описанные действия позволяют им производить мощные атаки на информационные системы в сети Интернет. Чаще всего они действуют целенаправленно и могут предпринимать определенные усилия для получения представления о принципах функционирования системы защиты. Спектр их действий — от модификация данных до получения или уничтожения критичных данных по организации. Планируя свои действия, группа предпринимает все возможные усилия для сокрытия факта несанкционированного доступа. Хакерская группа не останавливается до момента достижения поставленной цели или столкновения с непреодолимыми препятствиями для проведения дальнейшего вторжения.
Для противостояния действиям подобных групп необходимо использовать последние достижения в области обеспечения информационной безопасности объекта.
Следующий тип — предприятие-конкурент.
Данная модель включает в себя: собственные мощные вычислительные сети и каналы передачи данных с высокой пропускной способностью для выхода в Интернет; большие финансовые возможности; высокие знания компьютерных специалистов, как самой компании, так и нанимаемых «под заказ». Возможны попытки подкупа сотрудников службы безопасности или иные действия из области социальной инженерии. Конкуренты могут предпринять серьезные усилия для получения сведений функционирования системы информационной защиты, в том числе внедрить своего представителя в службу безопасности. Среди целей могут быть: блокирование функционирования информационной системы конкурента, нанесение подрыва в имидже, деструктивные действия, направленные на причинение непоправимого ущерба конкуренту, вплоть до его разорения и банкротства. Для этого используются самые изощренные методы проникновения в информационные системы и воздействия на потоки данных в ней. Действия конкурентов могут носить как скрытый, так и открытый, демонстративный характер. При осуществлении своих намерений конкурирующая сторона бьется до победного конца.
Служба безопасности должна быть начеку и сама вести наблюдение за компаниями, со стороны которых возможно проявление недобросовестной конкуренции. Может применяться сбор информации, другие разведывательные действия, подкуп и перевербовка сотрудников.
Самым серьезным соперником для службы безопасности организованные террористические группировки. Они обладают практически неограниченными вычислительными и финансовыми возможностями. На их службе состоят высокопрофессиональные компьютерные специалисты. Эти специалисты могут участвовать в разработке открытых стандартов по безопасности информации, сетевых протоколов и досконально знают возможности и недостатки всех компьютерных технологий. Вполне возможны так же случаи закупки образцов элементов СЗИ для их реинжиниринга с целью выявления уязвимых мест, ошибок в проектировании. Цели, преследуемые такой группой, весьма разнообразны и их невозможно предугадать заранее. Подобные преступные элементы могут не утруждать себя сокрытием своих действий.
Опасность может исходить и от спецслужб или разведывательных служб других государств, имеющих личные интересы в определенном секторе экономики или оказывающих воздействие на различные направления деятельности государства.
Требуется организация защиты информации на очень высоком уровне, что подразумевает существенные издержки. Кроме этого, требуется создавать собственные службы безопасности, оснащенные и обученные лучше ведомственных, но такой поворот событий чреват вступлением в открытое противостояние с этими органами.
Например, в [14] приводит следующую классификацию нарушителей (разделение делается по целям, преследуемым злоумышленником):

• хакеры — собственное удовлетворение, без материальной выгоды;
• шпионы — получение информации, которая может быть использована для каких-либо политических целей;
• террористы — с целью шантажа;
• промышленные шпионы — кража промышленных секретов, материальная выгода конкурентов;
• профессиональные преступники — получение личной финансовой выгоды.

Среди целей, преследуемых нарушителями, отмечаются:
• любопытство;
• вандализм;
• месть;
• финансовая выгода;
• конкурентная выгода;
• сбор информации;
• военная или политическая выгода.

Для защиты вычислительных сетей от злоумышленного воздействия необходимо использовать программные и программно-аппаратные комплексы и системы обеспечения информационной безопасности. Для организации защиты от внешней потенциально враждебной информационной системы используются межсетевые экраны, системы построения виртуальных частных сетей (VPN), защищенные каналы передачи данных (протоколы SSL, SOCKS, IPsec), криптографические средства (ГОСТ, AES, RSA и др.), протоколы распределения ключей и сертификаты (Х.509, SKIP, ISAKMP, PKCS, PEM и др.), системы аутентификации пользователей (PAP, S/Key, CHAP) и удаленного доступа (TACACS и RADIUS). Более подробная информация имеется в. [12] и [13]. Более подробно этот вопрос мы рассмотрим ниже.

Параграф. 3.4. Вывод

Итак, правильное построение модели нарушителя позволяет провести качественный анализ рисков и на основании этого провести адекватный выбор элементов будущей системы защиты информации. Модель нарушителя является необходимым, но не достаточным элементом построения эффективной системы.

Классификация видов, характеризующих нарушения информационной безопасности

Нарушения внутренней и внешней информационной безопасности

Нарушения информационной безопасности могут быть как внешними, так и внутренними.

Внешние источники нарушения могут быть как случайными, так и преднамеренными и иметь разный уровень квалификации:

  • • Криминальные структуры.
  • • Потенциальные преступники и хакеры.
  • • Недобросовестные партнеры.
  • • Технический персонал поставщиков услуг.
  • • Представители надзорных организаций и аварийных служб.
  • • Представители силовых структур.

Внутренние источники нарушений, как правило, представляют собой высококвалифицированных специалистов по разработке и эксплуатации программного обеспечения и технических средств, знакомых со спецификой решаемых задач, структурой, основными функциями и принципами работы программно-аппаратных средств защиты информации и имеющих возможность использования штатного оборудования и технических средств сети. Это:

  • • Основной персонал (пользователи, программисты, разработчики).
  • • Представители службы защиты информации.
  • • Вспомогательный персонал (уборщики, охрана).
  • • Технический персонал (жизнеобеспечение, эксплуатация).

Технические средства, выступающие в качестве источников потенциальных нарушений безопасности информации, так же могут быть внешними. Имеются в виду:

  • • Средства связи;
  • • Сети инженерных коммуникаций (водоснабжение, канализация);
  • • Транспорт.

Но они же могут быть и внутреннего характера:

  • • Некачественные технические средства обработки информации.
  • • Некачественные программные средства обработки информации.
  • • Вспомогательные технические средства (охрана, сигнализация, телефония).
  • • Другие технические средства, используемые в учреждении.

В качестве нарушителей в интегрированной информационной системе управления информационным обществом, могут выступать любое лицо, объект или событие, которые в состоянии потенциально нанести вред ЛВС и ИИСУП. Нарушения могут быть злонамеренными (умышленная модификация критической информации) или случайными (ошибки в вычислениях, случайное удаление файла). Нарушение может быть также природного характера, скажем, наводнение, ураган, молния и т. п. Нанесенный вред, в результате реализации угрозы, называется воздействием угрозы.

Воздействие нарушения обычно приводит к раскрытию, модификации, разрушению информации или отказу в обслуживании. Значительные долговременные последствия от реализации нарушения -— это потеря бизнеса, нарушение тайны, гражданских прав, потеря адекватности данных, а то и потеря человеческой жизни.

Представления о возможных нарушениях, а также об уязвимых местах в системе защиты информации необходимы, чтобы выбрать наиболее экономичные средства обеспечения безопасности.

Самые частые и опасные, с точки зрения размеров ущерба — это непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда это неправильно введенные данные, ошибка в программе, но порой создаются ситуации, которыми могут воспользоваться злоумышленники — таковы обычно ошибки администрирования, 65% потерь — следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью. Вероятно, самый радикальный способ борьбы с непреднамеренными ошибками — максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

На втором месте по размерам ущерба стоят кражи и подлоги.

Весьма опасны, так называемые, обиженные сотрудники — нынешние и бывшие. Как правило, они нередко горят желанием нанести вред организации-обидчику и с этой целью они:

  • • Повреждают оборудование.
  • • Могут встроить “логическую” бомбу.
  • • Вводят неверные данные.
  • • Удаляют данные.
  • • Изменяют данные.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и могут вредить весьма эффективно.

Нарушения от окружающей среды довольно разнообразны. Прежде всего, следует выделить нарушение инфраструктуры — аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т. п. На долю огня, воды и аналогичных “врагов”, среди которых самый опасный — низкое качество электропитания, приходится 13% потерь в информационных системах.

Известно, что чуть ли не каждый Internet-сервер по несколько раз в день подвергается попыткам проникновения: иногда такие попытки бывают удачными; изредка они оказываются даже связанными со шпионажем. Понятно, что необходимо серьезно относится к вопросам информационной безопасности, т. к. нельзя исключать фактор непредсказуемости в действиях людей такого сорта.

Серьезным представляется вопрос о программных вирусах. Обычно это серьезно беспокоит системных администраторов и операторов различного толка. Правда, соблюдение несложных правил обычно сводит риск заражения практически к нулю.

Уязвимыми выступают и слабые места в ЛВС и ИИСУП. Например, неавторизованный доступ (нарушение) к ЛВС может получить посторонний человек, угадавший очевидный пароль. Значит, уязвимое место в этом случае — плохой выбор пароля, сделанный пользователем. Уменьшение или ограничение уязвимых мест ЛВС снижает или вообще устраняет риск от возможных нарушений.

Служба защиты представляет собой совокупность механизмов защиты, поддерживающих их файлов данных и организационных мер, по защите ЛВС и ИИСУП от конкретных нарушений. Например, служба аутентификации и идентификации защищает ЛВС от неавторизованного доступа, когда требует, чтобы пользователь идентифицировал себя, подтвердив истинность своего идентификатора. Средство защиты надежно настолько, насколько надежен механизм, процедуры и т. д., составляющие его суть.

Ниже приведена классификация разных типов воздействий на ЛВС и ИИСУП. В основе группировки технических нарушений лежит принцип однородности их воздействий на информационные системы управления. В дальнейшем при изучении проблем безопасности в данной области это помогает четко отделять, например, технические нарушения в виде “Компрометации трафика ЛВС” от нарушений, приводящих к “Нарушению функционирования ЛВС”. Итак, вот эта классификация:

  • • Неавторизованный доступ к ЛВС или ИИСУП.
  • • Несоответствующий доступ к ресурсам ЛВС — это доступ авторизованного или неавторизованного человека в результате неавторизованного или случайного образа действий.
  • • Раскрытие данных — это результат получения кем- либо доступа к информации, ее прочтения и возможного раскрытия, случайным или неавторизованным намеренным образом.
  • • Неавторизованная модификация данных и программ — это результат модификации, удаления или разрушения человеком данных и программного обеспечения ЛВС неавторизованным или случайным образом.
  • • Раскрытие трафика ЛВС — возможно, если кто-либо получает доступ к информации, читает ее и в дальнейшем, возможно, разглашает случайным или неавторизованным намеренным образом, передавая ее через ЛВС.
  • • Подмена трафика ЛВС — это появление сообщений такого вида, будто они сделаны законным заявленным отправителем, а на самом деле это вовсе не так.
  • • Неработоспособность ЛВС — наступает из-за нарушений, не позволяющих ЛВС быть своевременно доступной [64].