Модели нарушителей безопасности АС
Согласно ГОСТ РВ 51987 — 2002, под нарушителем безопасности информации понимается субъект, случайно или преднамеренно совершивший действие, следствием которого является возникновение и/или реализация угроз нарушения безопасности информации.
В контексте АС под нарушителем понимается субъект, имеющий доступ к работе со штатными средствами автоматизирован-
ной системы и средствами вычислительной техники как части автоматизированной системы. Нарушители АС классифицируются по уровню возможностей, предоставляемых им штатными средствами АС. Выделяется четыре уровня этих возможностей. Классификация является иерархической, т.е. каждый следующий уровень включает функциональные возможности предыдущего.
Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС — запуск задач (программ) из фиксич рованного набора, реализующих заранее предусмотренные фуни ции по обработке информации.
Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обео печение системы и на состав и конфигурацию ее оборудования.
Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в ее состав собственных технических средств с новыми функциями по обработке информации.
В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты [26]. Нарушитель может осуществлять атаку случайно или преднамеренно. В последнем случае он называется злоумышленником.
Система защиты АС строится на основе модели нарушители в каждом конкретном случае, исходя из применяемой технология обработки информации, условий функционирования и расположения АС, определяется модель нарушителя, которая должна быть адекватна реальному нарушителю. Под моделью нарушителя понимается его абстрактное (формализованное или неформализованное) описание. Мы будем рассматривать далее только неформализованное описание.
Неформальная модель нарушителя отражает его практические и теоретические возможности, время и место действия и т.п. Дл! достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины, либои точнее определить требования к системе защиты от данного видя нарушений или преступлений.
При разработке модели нарушителя определяются:
• предположения о категориях лиц, к которым может принадлежать нарушитель;
• предположения о мотивах действий нарушителя (преследуемых нарушителем целях);
• предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушении методах и средствах);
• ограничения и предположения о характере возможных действий нарушителя.
По отношению к АС нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренним нарушителем может быть лицо из следующих мисгорий персонала:
• пользователи (операторы) системы;
• персонал, обслуживающий технические средства (инженеры,техники);
• сотрудники отделов разработки и сопровождения ПО (при-малные и системные программисты);
• технический персонал, обслуживающий здания (уборщики, псктрики, сантехники и другие сотрудники, имеющие доступ в шлния и помещения, где расположены компоненты АС);
• сотрудники службы безопасности АС;
• руководители различных уровней должностной иерархии. Посторонние лица, которые могут быть нарушителями:
• клиенты (представители организаций, граждане);
• посетители (приглашенные по какому-либо поводу);
• представители организаций, взаимодействующих по вопросим обеспечения жизнедеятельности организации (энерго-, водо- теплоснабжения и т.п.);
• представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
• лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность АС);
• любые лица за пределами контролируемой территории.
Весьма опасны так называемые обиженные сотрудники — нынешние и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:
• повредить оборудование;
• встроить логическую бомбу, которая со временем разрушит программы и/или данные;
• ввести неверные данные;
• удалить данные;
• изменить данные и т.д.
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права моступа к информационным ресурсам аннулировались.
Используя классификацию нарушителей АС по уровню возможностей, получим следующую классификацию нарушителе безопасности предприятия:
• применяющий чисто агентурные методы получения свеш ний;
• применяющий пассивные средства (технические средства перехвата без модификации компонентов АС);
• использующий только штатные средства и недостатки систЯ зашиты для ее преодоления (несанкционированные действия использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
• применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств подключение к каналам передачи данных, внедрение програм» ных закладок и использование
Кроме того, возможны и другие критерии классификации. Например, классификация нарушителей по времени действии выглядит так:
• в процессе функционирования АС (во время работы компонентов системы);
• в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов д обслуживания и ремонта и т.п.);
• как в процессе функционирования АС, так и в период неактивности компонентов системы.
Классификация по месту действия нарушителей:
• без доступа на контролируемую территорию организации;
• с контролируемой территории без доступа в здания и сооружения;
• внутри помещений, но без доступа к техническим средствам АС;
• с рабочих мест конечных пользователей (операторов) АС;
• с доступом в зону данных (баз данных, архивов и т.п.);
• с доступом в зону управления средствами обеспечения опасности АС.
В ГОСТ 15408 — 2002 значительное внимание уделяется предположениям безопасности, которые должен сделать разработчик продукиа ИТ. В отношении возможных нарушителей могут учитываться следующие предположения:
• работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;
• нарушитель, планируя попытки НСД, скрывает свои несанкционированные действия от других сотрудников;
• НСД может быть следствием ошибок пользователей, адмистраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.
Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметнонй области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями члрактеристик, приведенных выше.
6.4. Подходы к оценке ущерба от нарушений ИБ
Результатом реализации угроз информации может быть ее утрата (разрушение, уничтожение), утечка (разглашение, извлечение, копирование), искажение (модификация, подделка) или блокирование. Возможную совокупность и результаты реализации всех ни и m угроз нанесения ущерба для конкретного предприятия определить заранее трудно, поэтому модель потенциальных угроз на-т\гния ущерба должна создаваться на этапах разработки и создании КСЗИ и уточняться в ходе ее эксплуатации.
Количественная оценка ценности информации имеет особенности и связана с большими трудностями, поэтому наиболее хаки н-рна экспертная (качественная) оценка ценности объекта ИБ. Пример такой оценки приведен в табл. 6.2.
При реализации угрозы в отношении конкретного объекта ИБ можно говорить об ущербе этому объекту. Традиционно под ущербом понимаются материальные потери, оцениваемые в количественном или стоимостном исчислении, но при этом, как правило, игнорируются иные отрицательные результаты, которые присутствуют при реализации угроз. По этой причине более корректно выделение не только «материального», но и «нематериального» ущерба. Нематериальным ущербом можно считать ущерб, нанесенный имиджу, репутации, конкурентным и другим преимуществам предприятия. Расчет нематериального ущерба очень ело жен, поскольку нематериальные потери оцениваются экслертш на основе субъективных показателей. Например, вводится показатель «величина ущерба» и для него определяются лингвистические значения, как это показано в табл. 6.3 [24].
Таблица 6.2. Пример оценки ценности объекта ИБ
| Ценность объекта ИБ | Семантическая характеристика ценности объекта ИБ |
| Малоценный | От объекта ИБ не зависят критически важные задачи. При нанесении ущерба объекту ИБ на восстановление не требуется больших затрат времени и средств |
| Средняя | От объекта ИБ зависит ряд важных задач. При нанесении ущерба объекту ИБ время и стоимость восстановления находятся в допустимых пределах |
| Ценный | От объекта ИБ зависят критически важные задачи. При нанесении ущерба объекту И Б время и стоимость восстановления превышают допустимые значения |
Таблица 6.3. Пример оценки ущерба
| Лингвистические значения показателя «величина ущерба» | Семантическая характеристика значения показателя «величина ущерба» |
| Ничтожный | Ущербом (угрозой) можно пренебречь |
| Незначительный | Ущерб легко устраним, затраты на ликвидацию последствий реализации угрозы невелики. Финансовые операции не ведутся некоторое время. Положение на рынке и количество клиентов меняются незначительно |
| Умеренный | Ликвидация последствий реализации угрозы не связана с крупными затратами и не затрагивает критически важные задачи. Положение на рынке ухудшается, j Потеря части клиентов |
| Серьезный | Затрудняется выполнение критически важных задач. Утрата на длительный период (например, до года) положения на рынке. Ликвидация последствий реализации угрозы связана со значительными финансовыми инвестициями, в том числе займами |
| Критический | Реализация угрозы приводит к невозможности решения критически важных задач, Организация прекращает существование |
Таблица 6.4. Пример оценки вероятности угрозы
| частота реализации угрозы | Значение вероятности | Семантическая характеристика вероятности реализации угрозы |
| — | Около нуля | Угроза практически никогда не реализуется |
| 1 раз в несколько лет | Очень низкая | Угроза реализуется редко |
| 1 раз за год | Низкая | Скорее всего, угроза не реализуется |
| 1 раз в месяц | Средняя | Скорее всего, угроза реализуется |
| 1 раз в неделю | Выше средней | Угроза почти обязательно реализуется |
| 1 раз за день | Высокая | Шансов на положительный исход нет |
Частоту реализации угрозы за определенный период времени такжеможно определить семантически (табл. 6.4) [24].
Деятельность предприятия, сопряженная с вероятностным показателемущерба, считается рисковой. Риск обычно представляется произведением вероятности наступления ущерба на величину этого ущерба. Рисками необходимо управлять. Суть работы по пыилениюрисками состоит в том, чтобы оценить их размер, рцмоотать меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки. Таким образом, управление рисками включает два вида деятельности [5]: оценку (измерение) рисков; выбор эффективных и экономичных защитных регуляторов.
Процесс управления рисками можно подразделить на следующие этапы [411:
Определение среды, границ и идентификация активов автоматизированной системы.При определении среды и границ ИТ фиксируются:
• границы контролируемой зоны объекта эксплуатации, ИТ;
• меры и средства физической защиты;
• организационные меры обеспечения безопасности;
• пользователи ИТ;
• внешние интерфейсы ИТ,
• потоки информации;
• внешняя среда ИТ.
В состав активов ИТ включаются:
• аппаратные средства;
• программное обеспечение;
•информация;
•средства обеспечения безопасности.
2. Анализ мер и средств обеспечения безопасности и идентиификация уязвимостей. Целью анализа является определение уязвимостей, связанных с активами и средой ИТ, использований которых может привести к нарушению безопасности ИТ.
Для определения состава уязвимостей используются следующие источники:
• результаты анализа соответствия используемых мер и средств обеспечения безопасности установленным требованиям безопасности ИТ;
. печатные и электронные источники, содержащие известные уязвимости средств обеспечения безопасности ИТ;
• результаты работы автоматизированных средств выявлении уязвимостей;
. результаты тестирования средств обеспечения безопасности ИТ.
3. Идентификация угроз безопасности. При идентификации угроз безопасности должны быть выявлены все имеющиеся и по« тенциально возможные угрозы безопасности ИТ следующих кате горий:
• объективные и субъективные;
• внутренние и внешние;
• случайные и преднамеренные.
Описание угрозы безопасности должно содержать:
• источник угрозы;
. способ (метод) реализации угрозы;
• используемая уязвимость;
• вид защищаемых активов, на которые воздействует угроза;
• вид воздействия на активы;
• нарушаемое свойство безопасности активов. Описание источника угрозы должно содержать:
• тип;
• мотивацию;
. компетентность;
. используемые ресурсы.
4. Определение вероятности реализации угрозы. При определении вероятности реализации угрозы должны быть учтены:
. мотивация, компетентность источника угрозы и используемые им ресурсы;
• имеющиеся уязвимости;
. наличие и эффективность мер и средств обеспечения безопасности ИТ.
5. Оценка уровня ущерба. Уровень ущерба от реализации угрозы определяется как максимальный.
6. Оценка риска. Значение риска от реализации угрозы опреляется как функция вероятности возникновения ущерба жизни и in иоровью граждан, имуществу физических или юридических inn. iосударственному или муниципальному имуществу, который Может быть нанесен в результате невыполнения функций, возлагается на ИТ, и нарушения условий ее эксплуатации. Значение Виска нарушения безопасности ИТ определяется как максимальное шачение риска из рисков для всех рассмотренных угроз безопасности ИТ.
Опенка рисков может быть выполнена различными способами в зависимости от выбранной методологии оценки. Целью оценки ни 1ИСТСЯ получение ответа на два вопроса: приемлемы ли существуюшие риски и, если нет, то какие защитные средства экономически выгодно использовать. Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными фаницами допустимости и расходами на реализацию новых регуляторов безопасности.
Так, в целях оценки рисков часто используются табличные методы [24]. В простейшем случае используется субъективная оценка двух факторов: вероятности угрозы и величины ущерба. Двухфакторная оценка моделирует ситуацию отсутствия у предприятии какой-либо КСЗИ. В этом случае реализованная угроза ведет к нанесению ущерба объекту ИБ.
При наличии КСЗИ модель риска должна учитывать способности системы противодействовать реализации угрозы. Для этого Милель может быть дополнена фактором уязвимости КСЗИ, а риск должен учитывать вероятность преодоления КСЗИ при реализации угрозы. Поэтому вероятность нанесения ущерба уже не равна Приятности реализации угрозы и может быть определена по формуле: Рт = РУЦ1РУ, где Руш, Ругр, Ру — соответственно вероятности ущерба, угрозы и уязвимости. Тогда риск R определяется по формуле: R = PyrpPy U, где U — величина ущерба.
Рассмотренный ранее экспертно-лингвистический подход к опенке рисков нарушения И Б сопряжен с рядом трудностей практической реализации: малочисленностью экспертов соответствующей киалификации, значительной нечеткостью оценок и др. Вследствие этого весьма интересен экспертно-аналитический метод, Понижающий требования к квалификации экспертов, а также нечеткость и трудоемкость оценок. В соответствии с этим методом рпюсительным показателем величины ущерба является фактор Иотсрженности воздействию (ФП) — процент потери, который может нанести конкретному активу реализованная угроза.
Наличие значений ценности актива и ФП позволяет определить величину ущерба, который может быть нанесен объекту при реализации конкретной угрозы. В качестве показателя ущербе можно использовать ожидание единичной потери (ОЕП), которое представляется выражением: ОЕП = ЦА ФП, где ЦА — ценность актива; ФП — фактор подверженности воздействию определенной угрозы.
Ожидаемые за год финансовые потери актива от одной определенной угрозы характеризуются показателем «ожидание ежегодной потери» (ОГП). Для определения ОГП также используется) понятие «частота реализации угрозы» (ЧР) — ожидаемое число реализаций j-угрозы по отношению к i-объекту ИБ. Тогда ОГП = ОЕП*ЧР. Из этой формулы видно, что понятие «ожидание ежегодной потери близко к понятию «риск».
При проведении оценок необходимо учитывать следующие обстоятельства. Рисковые события имеют разную частоту проявления: некоторые случаи могут происходить раз в несколько лет или десятилетий, а другие — ежедневно или много раз в день, Естественно, такими временными интервалами трудно оперировать. Например, в табл. 6.4 оцениваемый период имеет значения: неделя, месяц и т.д. Удобнее работать с временными интервалами, кратными 10. Тогда три года, можно считать, приближение равны 1 000 дням. Это позволяет оценивать события как с ним кой, так и высокой вероятностью возникновения.
Кроме того, при анализе риска точное знание частоты реализации угрозы не принципиально (восемь или двенадцать случаев в год). Поэтому для упрощения анализа достаточно иметь оценку с точностью до порядка, т. е. частоту fj представлять численно кратной 10. Тогда при оценке частоты возникновения 1 раз в 300 лет можно считать yj= 1. Иные значения установленной зависимости представлены в табл. 6.5.
Аналогичные рассуждения можно привести в отношении ушерба: не существенна разница при оценке ущерба между величине ми 1 100 000 руб. или 1 200 000 руб. Поэтому можно полагать, чти при величине ущерба 100 руб. Uy= 1. Иные значения этого логического правила представлены в табл. 6.6.
Таблица 6.5. Возможная шкала частоты угроз
| Частота | 1/300 лет | 1/30 лет | 1/3 года | 1/100 лисп | 1/10 дней | 1/1 день | 10/1 день | 100/1 лень |
| / | 1 | 2 | 3 | 4 | 5 | 6 | 7 | X |
Таблица 6.6. Возможная шкала ущерба
| Руб. | 100 | 1000 | 10000 | 100000 | 1000000 | 10000000 | НЮ 000 000 | 1000 000 С |
| и | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
138
Как было показано, ожидание ежегодной потери (ОГП) — pels п.гаг реализации угрозы и частоты ее возникновения. Исходя I и i шачений/и /', значение ОГП можно определить по следующей формуле:
Необходимо отметить, что оценку ущерба при реализации уг-
|М)н.1 наиболее квалифицированно может провести руководство
и|»шриятия или пользователь информации. Оценку вероятности
реализации угрозы целесообразно проводить силами специалис-
I urn по ИБ или ИТ-персонала.
Ранжирование рисков производится для формирования решении но противодействию угрозам, причем целесообразно оценить кп-пень опасности каждой угрозы. Эту задачу удобно решать на I in none таблицы рисков, которая представляет собой матрицу уг-1рщ и поставленных им в соответствие рисков.
Множество количественно оцененных рисков позволяет по-■ftроить стек (последовательность убывающих значений) рисков. ш (пнища и стек рисков могут быть использованы для анализа с I Hi'чью выявления угроз (уязвимостей), которые обеспечивают наи-|По.ший вклад в значение интегрального риска. Именно на эти
fгрозы направляется в первую очередь риск-менеджмент. Выбор допустимого уровня риска связан с затратами на реализацию КСЗИ. Вследствие этого кроме метода уменьшения максимального риска на 25 — 30% могут быть использованы иные подины, в частности обеспечение так называемого базового и повышенного уровней И Б. При идентификации активов, т.е. тех ценностей, которые орга-гпи ьшия пытается защитить, следует, конечно, учитывать не толь-Ifcn компоненты информационной системы, но и поддерживаю-I тми инфраструктуру, персонал, а также нематериальные ценно-Мtit. такие как репутация компании. Тем не менее одним из глав-it #и.1ч результатов процесса идентификации активов является полу-I Чгиис летальной информационной структуры организации и спо-НвАон ее (структуры) использования.
')гапы, предшествующие анализу угроз, можно считать подгонит гельными, поскольку, строго говоря, они впрямую не связаны с рисками. Риск появляется там, где есть угрозы |5]. Краткий |И'|11"1снь наиболее распространенных угроз был приведен выше. Кик правило, наличие той или иной угрозы является следствием Ндоостей в защите информационной системы, которые в свою [ нчгрс.ть объясняются отсутствием некоторых сервисов безопасно-.||п и ли недостатками в реализующих их защитных механизмах. Первый шаг в анализе угроз — их идентификация. Анализи-ftyi'Muc вилы угроз следует выбрать из соображений здравого смыс-К (оставив вне поля зрения, например, землетрясения или захват
организации террористами), но в пределах выбранных видов про! вести максимально полное рассмотрение.
Целесообразно выявлять не только сами угрозы, но и источник ки их возникновения, что поможет в выборе дополнительный средств зашиты. Например, нелегальный вход в систему можя стать следствием воспроизведения начального диалога, подбор! пароля или подключения к сети неавторизованного оборудования! Очевидно, для противодействия каждому из перечисленных cnoJ собов нелегального входа нужны свои механизмы безопасности. I
После идентификации угрозы необходимо оценить вероятХ ность ее осуществления. Допустимо использовать при этом TpexJ балльную шкалу: 1 — низкая, 2 — средняя, 3 — высокая вероям ность. Кроме вероятности осуществления важен размер потенА циального ущерба. Например, пожары бывают нечасто, но ущеот от каждого из них, как правило, велик. Тяжесть ушерба такж| можно оценить по трехбалльной шкале.
Если какие-либо риски оказались недопустимо высокими, не^ обходимо реализовать дополнительные защитные меры. Оцени вая стоимость защитных мер, следует учитывать не только пря, мые расходы на закупку оборудования и/или программ, но и рас; ходы на внедрение новинки, в частности, на обучение и перепод; готовку персонала.
Когда намеченные меры приняты, надо проверить их действен, ность, т.е. убедиться, что остаточные риски стали приемлемыми Если это на самом деле так, значит, все в порядке и можно спо, койно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и немедлен! но провести повторный сеанс управления рисками [5].