Значение модели нарушителя при построении системы информационной безопасности
Система защиты информации в банке должна быть адекватной уровню важности, секретности и критичности защищаемой информации. Ее стоимость не должна превосходить возможный ущерб от нарушения безопасности охраняемой информации. Но в то же время преодоление системы защиты должно быть экономически нецелесообразно по сравнению с возможной выгодой от получения доступа, уничтожения, модификации или блокировки защищаемой информации.
Необходимо оценить ущерб, который может иметь место в случае утечки информации или при любом другом нарушении системы безопасности, а также вероятность нанесения подобного ущерба. Для определения адекватности стоимости системы защиты следует сопоставить размеры ущерба и вероятность его нанесения с размерами затрат на обеспечение защиты. К сожалению, реальную стоимость информации оценить довольно сложно, поэтому часто применяются качественные экспертные оценки, информационные ресурсы классифицируют как критичные для ведения бизнеса, особой важности, и т. д.
Служба безопасности банка должна если не знать своих врагов в лицо, то построить модель типичного злоумышленника. Необходимо оценить, от кого защищаться в первую очередь. Опираясь на построенную модель злоумышленника, уже можно строить адекватную систему информационной защиты. Таким образом, правильно разработанная модель типичного злоумышленника.
Чаще всего строится неформальная модель злоумышленника, отражающая причины и мотивы действия, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей — способы реализации исходящих от него угроз, место и характер действия, возможная тактика и т. п. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы.
Чаще всего теоретически применяется теория игр, когда для создания защитной системы используется матрица угроз/средств защит и матрица вероятностей наступления угроз. У злоумышленника существует своя собственная матрица нападений (ценностей), в общем случае эта матрица может не совпадать с матрицей защищающейся стороны. Пользователь системы также может стать нарушителем безопасности.
Определив основные причины нарушений, представляется возможным оказать влияние на эти причины, или необходимым образом -скорректировать требования к системе защиты от данного типа угроз. Вопросы безопасности вычислительных систем большей частью есть вопросы человеческих отношений и человеческого поведения. При анализе нарушений защиты необходимо уделять внимание субъекту (личности) нарушителя. Устранение причин или мотивов, побудивших к нарушению, в дальнейшем может помочь избежать повторения подобного случая.
Модель может быть не одна, целесообразно построить несколько отличающихся моделей разных типов противников информационной безопасности банка.
Для построения модели нарушителя используется информация от служб безопасности и аналитических групп о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадии передачи, обработки и хранении, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях хищения информации и т.
Анализ уголовных дел и иной доступной информации показал, что механизм совершения компьютерных преступлений состоит в следующем:
Преступники имеют отношение к разработке программных средств эксплуатации компьютеров и вычислительных систем, злоумышленники используют перечисленные возможности для модификации важных записей и уничтожения следов своей деятельности;
• несанкционированный доступ осуществляется в течение короткого времени (до одной минуты) с трудно отслеживаемого терминала, имеющего связь с вычислительной сетью организации;
• внедряется заранее разработанная программа или производится некоторая модификация существующего ПО с целью создания специальных счетов физических и юридических лиц, а также рассылки фальшивых платежных поручений по заданным адресам;
• параллельно осуществляется контроль бухгалтерского ПО для предотвращения утечки информации о факте совершения преступления: контрольные и оборотные ведомости по балансовым счетам, ведомость остатков в разрезе кодов валют за день перерасчета;
• получение со счетов наличными осуществляется в заранее разработанном порядке, без оставления следов.
Осуществлению преступных действий в областях автоматизации производства и бухгалтерского учета способствует, прежде всего, слабая готовность персонала, обслуживающего технические средства обработки информации, отсутствие необходимых средств контроля и информационной защиты, отсутствие или неполная проработка концепции информационной безопасности организации, а также неадекватная реализация предписаний политики: неумение реализовать систему разделения доступа, обновления паролей и ключевых слов, а также неспособность или неподготовленность осуществить администрирование и настройку использующихся сетевых сервисов.