Модели угроз и нарушителей должны быть основным инструментом менеджмента организации при развертывании, поддержании и совершенствовании системы обеспечения ИБ организации.

Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:

- физического (линии связи, аппаратные средства и пр.);

- сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);

- сетевых приложений и сервисов;

- операционных систем (ОС);

- систем управления базами данных (СУБД);

- банковских технологических процессов и приложений;

- бизнес-процессов организации.

На каждом из уровней угрозы и их источники (в т.ч. злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными.

Главной целью злоумышленника является получение контроля над активами на уровне бизнес-процессов. Прямое нападение на уровне бизнес-процессов, например, путем раскрытия конфиденциальной банковской аналитической информации, более эффективно для злоумышленника и опаснее для собственника, чем нападение, осуществляемое через нижние уровни, требующее специфических опыта, знаний и ресурсов (в т.ч. временных) и поэтому менее эффективное по соотношению «затраты/получаемый результат».

Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.

Наиболее актуальные источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:

- внешние источники угроз: лица, распространяющие вирусы и другие вредоносные программы, хакеры, фрикеры; и иные лица, осуществляющие несанкционированный доступ (НСД);

- внутренние источники угроз, реализующие угрозы в рамках своихполномочий и за их пределами (персонал, имеющий права доступа к аппаратному оборудованию, в том числе сетевому, администраторы сетевых приложений и т.п.);

- комбинированные источники угроз: внешние и внутренние, действующие совместно и/или согласованно.

Наиболее актуальные источники у гроз на уровнях операционных

систем, систем управления базами данных, банковских технологических п роцессов:

- внутренние, реализующие угрозы в рамках своих полномочий и за их пределами (администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.);

- комбинированные источники угроз: внешние и внутренние, действующие в сговоре.

Наиболее актуальные источники угроз на уровне бизнес-процессов:

- внутренние источники, реализующие угрозы в рамках своих полномочий и за их пределами (авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.);

- комбинированные источники угроз: внешние (например, конкуренты) и внутренние, действующие в сговоре.

Также необходимо учитывать угрозы, связанные с природными и техногенными катастрофами и террористической деятельностью.

Источники угроз для реализации угрозы используют уязвимости объектов и системы защиты.

Хорошей практикой является разработка моделей угроз и нарушителей ИБ для данной организации.

Модель угроз ИБ включает описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери (например, конфиденциальности, целостности, доступности активов), масштабов потенциального ущерба.

Для источников угроз – людей – может быть разработана модель нарушителя ИБ, включающая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.

Степень детализации параметров моделей угроз и нарушителей ИБ может быть различна и определяется реальными потребностями для каждой организации в отдельности.

В руководящем документе Гостехкомиссии России [РД. Концепция защиты средств вычислительной техники в АС от НСД к информации, 1992] введено понятие модели нарушителя в автоматизированной системе обработки данных. В качестве такового рассматривается субъект, имеющий доступ к работе со штатными средствами АС. При этом в зависимости от возможностей, предоставляемых нарушителям штатными средствами, угрозы делятся на четыре уровня:

самый низкий – возможности запуска задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции обработки информации;

промежуточный 1 – дополнительно к предыдущему имеются возможности создания и запуска собственных программ с новыми функциями обработки информации;

промежуточный 2 – дополнительно к предыдущему предполагается наличие возможностей управления функционированием АС, т.е. воздействия на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования;

самый высокий – определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав системы собственных технических средств с новыми функциями обработки информации (в этом случае предполагается, что нарушитель является специалистом высшей квалификации, знает все об АС, в том числе и об используемых средствах защиты информации).

Согласно [СТР-К] различают 4 уровня возможностей внутреннего нарушителя, которые увеличиваются от уровня к уровню.

первый уровень – возможность запуска программ из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации (пользователь АРМ, пользователь сети);

второй уровень – возможность создания и запуска собственных программ с новыми функциями по обработке информации (прикладной программист, разработчик программного обеспечения);

третий уровень – возможность получения управления функционированием системы, а также воздействия на базовое программное обеспечение, состав и конфигурацию оборудования (системный программист, администратор сервера (ЛВС), администратор информационной системы (базы данных), разработчик);

четвертый уровень – определяется возможностью проектирования, установки и ремонта средств электронно-вычислительной техники, вплоть до включения в их состав собственных технических и программных средств с новыми функциями по обработке информации (администратор информационной системы, администратор сервера (ЛВС), администратор безопасности информации, разработчик системы, разработчик средств защиты информации, обслуживающий АС персонал).

Таблица 1. Основные методы реализации угроз информационной безопасности