Классификация нарушителей безопасности

При разделении нарушителей безопасности по классам можно исходить из их принадлежности определенным категориям лиц, мотивов действий и преследуемых целей, характера методов достижения поставленных целей, квалификации, технической оснащенности и знаний об атакуемой информационной системе.

Прежде всего разделим нарушителей на внутренних и внешних. По данным многих источников и статистических исследований, отношение внутренних инцидентов к внешним оценивается примерно в 75%. Мы бы рассматривали в данном случае классическую пропорцию 80 к 20, так как факты многочисленных нарушений часто скрываются организациями или для поддержания имиджа приписываются внешним источникам.

Потенциально к внутренним нарушителям относятся сотрудники самого банка или сотрудники организаций из сферы ИТ, предоставляющие банку телекоммуникационные и иные информационные услуги.

Среди внутренних нарушителей в первую очередь можно выделить:

· непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней;

· администраторов вычислительных сетей и информационной безопасности;

· прикладных и системных программистов;

· сотрудников службы безопасности;

· технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до ремонтной бригады;

· вспомогательный персонал и временных работников.

Среди причин, побуждающих сотрудников к неправомерным действиям, можно указать следующие:

· безответственность;

· ошибки пользователей и администраторов;

· демонстрация своего превосходства (самоутверждение);

· "борьба с системой";

· корыстные интересы пользователей системы;

· недостатки используемых информационных технологий.

Для предотвращения нарушений необходимо проводить специальную подготовку персонала, поддерживать здоровый рабочий климат в коллективе, проводить тщательный отбор нанимаемых сотрудников, своевременно обнаруживать злоумышленников.

Группу внешних нарушителей могут составлять:

· клиенты;

· приглашенные посетители;

· представители конкурирующих организаций;

· сотрудники органов ведомственного надзора и управления;

· нарушители пропускного режима;

· наблюдатели за пределами охраняемой территории.

По рекомендации экспертов в области информационной безопасности, особое внимание следует обращать на вновь принимаемых сотрудников в следующих профессиях: администраторы, программисты, специалисты в области компьютерной техники и защиты информации. Известны случаи внедрения сотрудников, работающих на конкурентов, поступления на работу злоумышленника-одиночки или представителя преступной группы. Чрезвычайную опасность представляют специалисты подобного уровня при вхождении в сговор с руководством подразделений и службы безопасности банка, а также с организованными преступными группами. В данном случае возможный ущерб и тяжесть последствий многократно увеличиваются.

Руководство банка, должно четко себе представлять, от каких видов нарушений необходимо защититься в первую очередь.

Типы нарушителей могут сильно отличаться, варьироваться по составу, возможностям и преследуемым целям. От одиночного нарушителя, действующего удаленно и скрытно, до хорошо вооруженной и оснащенной силовой группы, действующей молниеносно и напролом. Нельзя не учитывать возможности сговора между нарушителями, относящимися к различным типам, а также подкупа и реализации других методов воздействия.

Далее классификацию можно проводить по следующим параметрам.

Используемые методы и средства:

· сбор информации и данных;

· пассивные средства перехвата;

· использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;

· активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и "черных ходов" в систему, подключение к каналам передачи данных.

Уровень знаний нарушителя об организации информационной структуры:

· типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;

· высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;

· высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;

· обладание сведениями о средствах и механизмах защиты атакуемой системы;

· нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.

Время информационного воздействия:

· в момент обработки информации;

· в момент передачи данных;

· в процессе хранения данных (учитывая рабочее и нерабочее состояния системы).

По месту осуществления воздействия:

· удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;

· доступ на охраняемую территорию;

· непосредственный физический контакт с вычислительной техникой, при этом можно выделить:

· доступ к терминальным операторским станциям,

· доступ к важным сервисам предприятия (сервера),

· доступ к системам администрирования, контроля и управления информационной системой,

· доступ к программам управления системы обеспечения информационной безопасности.

Создание модели нарушителя или определения значений параметров нарушителя в большой мере субъективно. Модель необходимо строить с учетом технологий обработки информации и особенностей предметной области.

Рассмотрим более подробно пример возможной схемы действий злоумышленника: тип - "предприятие-конкурент".

Данная модель включает в себя: собственные мощные вычислительные сети и каналы передачи данных с высокой пропускной способностью для выхода в Интернет; большие финансовые возможности; высокие знания компьютерных специалистов как самой компании, так и нанимаемых "под заказ". Возможны попытки подкупа сотрудников службы безопасности или иные действия из области социальной инженерии. Конкуренты могут предпринять серьезные усилия для получения сведений функционирования системы информационной защиты, в том числе внедрить своего представителя в службу безопасности. Среди целей могут быть: блокирование функционирования информационной системы конкурента, нанесение ущерба имиджу, деструктивные действия, направленные на причинение непоправимого ущерба конкуренту, вплоть до его разорения и банкротства. Для этого используются самые изощренные методы проникновения в информационные системы и воздействия на потоки данных в ней. Действия конкурентов могут носить как скрытый, так и открытый, демонстративный характер. При осуществлении своих намерений конкурирующая сторона бьется до победного конца.

Служба безопасности должна быть начеку и сама вести наблюдение за компаниями, со стороны которых возможно проявление недобросовестной конкуренции. Может применяться сбор информации, другие разведывательные действия, подкуп и перевербовка сотрудников.

Самым серьезным соперником для службы безопасности банка являются коррумпированные представители различных структур ведомственного уровня, а также спецслужбы различных государств. Они обладают практически неограниченными вычислительными и финансовыми возможностями, а также самостоятельно контролируют трафик в Интернет. На их службе состоят высокопрофессиональные компьютерные специалисты.

В процессе сертификации вычислительной системы представители ведомственных органов могут получать достаточно полную информацию о ее построении. Цели, преследуемые такой группой, весьма разнообразны и их невозможно предугадать заранее. Подобные преступные элементы могут не утруждать себя сокрытием своих действий и, как уже говорилось, практически ничто неспособно их остановить. Они могут пользоваться поддержкой как законодательных, так и иных правовых актов, а также опекой органов исполнительной и судебной власти.

Опасность может исходить и от спецслужб или разведывательных служб других государств, имеющих личные интересы в данном секторе экономики или оказывающих воздействие на различные направления деятельности государства.

Т.о. требуется организация защиты информации на очень высоком уровне, что подразумевает существенные издержки. Кроме этого, требуется создавать собственные службы безопасности, оснащенные и обученные лучше ведомственных, но такой поворот событий чреват вступлением в открытое противостояние с этими органами.

Для защиты вычислительных сетей от злоумышленного воздействия необходимо использовать программные и программно-аппаратные комплексы и системы обеспечения информационной безопасности. Для организации защиты от внешней потенциально враждебной информационной системы используются межсетевые экраны, системы построения виртуальных частных сетей (VPN), защищенные каналы передачи данных (протоколы SSL, SOCKS, IPsec), криптографические средства (ГОСТ, AES, RSA и др.), протоколы распределения ключей и сертификаты (Х.509, SKIP, ISAKMP, PKCS, PEM и др.), системы аутентификации пользователей (PAP, S/Key, CHAP) и удаленного доступа (TACACS и RADIUS).

Итак, правильное построение модели нарушителя позволяет проектировать и реализовывать систему обеспечения защиты информации в вычислительных системах банка адекватно имеющимся угрозам и т.о. эффективно им противостоять.

Не нашли, что искали? Воспользуйтесь поиском по сайту: