Неформальная модель нарушителя

Исследования проблемы обеспечения безопасности организаций ведутся в направлении раскрытия природы явлений, заключающихся в нарушении целостности и конфиденциальности информации, дезорганизации работы компьютерных систем. Серьезно изучается статистика нарушений, вызывающие их причины, личности нарушителей, суть применяемых нарушителями приемов и средств, используемые при этом недостатки систем и средств их защиты, обстоятельства, при которых было выявлено нарушение, и другие вопросы, которые могут быть использованы при построении моделей потенциальных нарушителей.

Неформальная модель нарушителя отражает его практические и теоретические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (конечно если это возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлении.

Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства

Злоумышленником будем называть нарушителя, намеренно идущего на нарушение из корыстных побуждений.

При разработке модели нарушителя определяются:

·              предположения о категориях лиц, к которым может принадлежать нарушитель;

·   предположения о мотивах действий нарушителя (преследуемых нарушителем целях);

·   предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушения методах и средствах);

·   ограничения и предположения о характере возможных действий нарушителей.

По отношению к предприятию нарушители могут быть внутренними (из числа персонала и пользователей системы) или внешними (посторонними лицами). Внутренним нарушителем может быть лицо из следующих категорий сотрудников:

·              конечные пользователи (операторы) системы;

·   персонал, обслуживающий технические средства (инженеры, техники);

·   сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);

·   сотрудники службы безопасности автоматизированной системы;

·   руководители различных уровней.

Посторонние лица, которые могут быть нарушителями:

·              технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения);

·   клиенты (представители организаций, граждане);

·   посетители (приглашенные по какому-либо поводу);

·   представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);

·   представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;

·   лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность предприятия);

·   любые лица за пределами контролируемой территории.

Можно выделить несколько основных мотивов нарушений:

·              безответственность;

·   самоутверждение;

·   вандализм;

·   принуждение;

·   месть;

·   корыстный интерес;

·   идейные соображения

При нарушениях, вызванных безответственностью, пользователь производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь - против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег.

Нарушение безопасности организации может быть связано с принуждением (шантаж), местью, идейными соображениями или корыстными интересами пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему зашиты для доступа к хранимой, передаваемой и обрабатываемой информации и другим ресурсам организации.

По уровню знаний об автоматизированной системе нарушителей можно классифицировать следующим образом:

·              знает функциональные особенности автоматизированной системы, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;

·   обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;

·   обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;

·   знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

По уровню возможностей (используемым методам и средствам):

·              применяющий только агентурные методы получения сведений;

·   применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);

·   использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

·   применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

По времени действия:

·              в процессе функционирования автоматизированной системы (во время работы компонентов системы);

·   в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);

·   как в процессе функционирования автоматизированной системы, так и в период неактивности компонентов системы.

По месту действия:

·              без доступа на контролируемую территорию организации;

·   с контролируемой территории без доступа в здания и сооружения;

·   внутри помещений, но без доступа к техническим средствам автоматизированной системы;

·   с рабочих мест конечных пользователей (операторов) автоматизированной системы;

·   с доступом в зону данных (серверов баз данных, архивов и т.п.);

·   с доступом в зону управления средствами обеспечения безопасности автоматизированной системы.

Могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:

·              работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;

·   нарушитель, планируя попытки несанкционированного доступа, скрывает свои несанкционированные действия от других сотрудников.

Правильно построенная (адекватная реальности) модель нарушителя, в которой отражаются его практические и теоретические возможности, априорные знания, время и место действия и т.п. характеристики - важная составляющая успешного проведения анализа риска и определения требований к составу и характеристикам системы защиты.