Технология разработки моделей злоумышленников информационной безопасности. Модель нарушителя информационной безопасности - превенция появления самого нарушителя


"Управление в кредитной организации", 2006, N 5

В 2006 г. был принят и введен в действие Стандарт Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения". Среди множества нужных, важных и востребованных положений в нем определены такие системные инструменты, как политика информационной безопасности, модель угроз и нарушителей информационной безопасности кредитных организаций. В данной статье автор подробно остановится на последнем инструменте - модели нарушителя, сделав основной упор на модели внутреннего нарушителя. Такой выбор обусловлен тем, что, как показывает практика, эта позиция вызывает наибольшее затруднение непосредственно у разработчиков подобных документов.

Мудрый и кроткий владыка

не в крепостных оградах, но в сердцах своих

подданных заключает свою безопасность.

Александр Суворов

Идея разработки модели нарушителя информационной безопасности родилась во второй половине 80-х годов прошлого века в Министерстве обороны США и получила путевку в жизнь в так называемой Оранжевой книге, а в начале 90-х годов плавно перекочевала в руководящие документы Гостехкомиссии России.

Введение модели нарушителя используется для определения возможных каналов несанкционированного доступа к информации, обрабатываемой с помощью банковских автоматизированных информационных систем. В рамках выбора модели нарушителя необходимо определить следующие параметры:

  • категории лиц, в числе которых может оказаться нарушитель;
  • возможные цели нарушителя и их градацию по степени важности;
  • предположения о квалификации нарушителя;
  • степень его технической вооруженности;
  • ограничения и предположения о характере возможных действий нарушителя.

При необходимости с учетом условий функционирования конкретной банковской информационной системы (БИС) модель нарушителя может быть расширена за счет привнесения в модель других категорий лиц, в числе которых может оказаться нарушитель, и, соответственно, его возможностей.

Уровень нарушителя определяется организационно-функциональной структурой БИС в конкретном банке. Необходимо помнить, что программные и организационные меры защиты нельзя рассматривать по отдельности, они всегда взаимодополняют друг друга.

Примечание. Проиллюстрируем этот тезис на примере. Предположим, что в вашем банке создана автоматизированная информационная система, реализованная в рамках локальной вычислительной сети, которая расположена в контролируемом помещении. Система обрабатывает конфиденциальную информацию, требующую защиты. На ней работают сотрудники, которые прошли кадровую проверку и контроль за работой которых достаточно осуществлять силами либо руководителя, либо системного администратора. Доступ в помещение посторонним лицам ограничен. Ведется физическая охрана технических средств и носителей информации. В этом случае достаточно использовать аутентификацию пользователей и обычный доступ к информации по паролю.

В ходе развития системы создается интегрированный банк данных кредитной организации с удаленными абонентскими пунктами, через которые в банк данных могут обращаться зарегистрированные, но неконтролируемые пользователи. Они имеют ограниченный доступ, но могут бесконтрольно пытаться осуществить несанкционированный доступ к данным. При этом они не могут иметь при себе дополнительных специальных технических средств, но, используя личный интеллектуальный потенциал, могут какое-то время пытаться взломать систему защиты. В этом случае необходимо предусмотреть дополнительные программные средства защиты, такие как аудит доступа к информационным ресурсам системы с использованием системного журнала с его периодическим анализом. Допустим, в дальнейшем потребуется организация работы интегрированного банка данных в режиме удаленного доступа с использованием открытых телекоммуникационных каналов связи. При этом в состав потенциальных нарушителей, особенно если конфиденциальная информация имеет особую притягательность, целесообразно включить отдельные структуры, которые могут применять специальные технические средства для съема интересующей их информации. В этом случае представляется необходимым использовать криптографические подсистемы шифрования информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах.

Какие же информационные ресурсы подлежат защите?

Во-первых, непосредственно бизнес-процессы. Это в первую очередь повестки, протоколы и отчеты правления и совета директоров банка, материалы кредитного комитета, информация, характеризующая дебиторов и кредиторов, сведения из кредитных историй клиентов банка, информация об имеющихся расчетных, текущих и личных счетах клиентов банка и размещенных на них денежных средствах, сведения о содержащейся на балансе банка недвижимости и других материальных ценностях и т.д. и т.п.

Во-вторых, платежная и учетно-операционная информация, хранящаяся и обрабатываемая в электронной форме. Сюда входят пластиковые платежные карты, платежные поручения, аккредитивные обязательства, чеки. Сюда же входят и сведения по ценным бумагам, учтенным или эмитированным банком.

В-третьих, данные информационных, аналитических и иных неплатежных систем банка. Здесь следует разделить фактографические данные, хранящиеся в структуризованном виде в различных базах данных, и документарные - имеющие бесструктурный характер. Как иллюстрационный пример можно привести стопку анкет сотрудников банка, представляющую собой прототип фактографической системы, и стопку автобиографий этих же сотрудников, по сути являющуюся аналогом документарной системы. В первом случае сведения заносятся в определенные графы в определенном порядке. Во втором случае сведения подаются в произвольном, то есть неструктуризованном, виде. Документарные массивы, в свою очередь, можно разделить на документы и проекты документов. Документы имеют соответствующие реквизиты (подпись, номер, дату), не подлежат корректировке и, как правило, хранятся и обрабатываются в хранилищах данных. Проекты документов, которые подлежат корректуре или используются для подготовки других документов, обрабатываются в основном в папках коллективного доступа, хранящихся на файл-серверах.

В-четвертых, процессы управления БИС и технологические процессы сбора, обработки, хранения и передачи информации. К подобного рода информации относится вся служебная информация, касающаяся деятельности БИС. Это и системные журналы администраторов, и данные мониторинга и аудита действий пользователей, и сведения по ключевой системе защиты, и многое другое. С одной стороны, это информация обеспечивающего характера, с другой - она несет особый притягательный характер, так как доступ к ней позволяет получить доступ ко всему массиву конфиденциальной информации банка, нацеленной на реализацию его конкретных бизнес-процессов.

В-пятых, аппаратно-программные и технические комплексы, обеспечивающие реализацию функций банка, здания и сооружения, где установлены указанные комплексы.

Следует отметить, что при разработке модели нарушителя информационной безопасности рассматриваются только электронные информационные ресурсы. Если включить в этот ресурс и иную конфиденциальную информацию (сведения, озвученные на совещаниях, заседаниях, переговорах; информацию на бумажных носителях; данные, полученные в ходе приватных встреч, и др.), то в таком случае и рассматриваться должна базовая модель потенциального нарушителя банка. Она формируется на основе модели нарушителя информационной безопасности путем включения в нее дополнительной категории сотрудников банка, работающих с конфиденциальной информацией (работники канцелярии, персонал, работающий с VIP-клиентами в формате "бутик-банкинг" и т.п.).

Особо хотелось бы отметить сотрудников, которые владеют интегрированными аналитическими сведениями, представляющими для банка стратегический характер. Это в первую очередь топ-менеджеры банка и приближенные к ним лица (секретари и обслуживающий персонал), по роду своей работы допущенные к эксклюзивным процессам банка. В отношении этой категории сотрудников службой безопасности банка должны быть разработаны дополнительные профилактические организационные меры защиты, желательно согласованные не только с руководителем исполнительного органа банка, но и с советом директоров.

Исходя из ценности электронных информационных ресурсов, можно определить и приоритеты безопасности:

  • доступность информации и сервисов, предоставляемых информационной системой;
  • целостность информации (данных) и программного обеспечения;
  • конфиденциальность информации.

Под нарушением доступности подразумеваются:

  • факторы природного или техногенного характера;
  • несанкционированная, нерегламентированная или преднамеренная деятельность персонала и пользователей БИС, приведшая к ошибочным результатам;
  • отказы оборудования.

Под нарушением целостности подразумеваются:

  • несанкционированное искажение;
  • уничтожение или ввод ложной информации.

Под нарушением конфиденциальности понимается инсайдерская деятельность, нарушение банковской тайны, несанкционированное чтение/копирование/публикация информации.

Для различного рода информации устанавливаются и различные приоритеты безопасности. Например , для открытой информации: целостность ---> доступность. Для внутренней банковской информации, предназначенной для использования исключительно сотрудниками банка: доступность ---> конфиденциальность ---> целостность. Для конфиденциальных сведений: конфиденциальность ---> целостность ---> доступность.

Обеспечение всего комплекса организационных мер и программно-технических средств по обеспечению информационной безопасности требует значительных финансовых и людских ресурсов. Вместе с тем новый Стандарт Банка России подсказывает и определяет основное направление этой работы. Учитывая специфику накапливаемой и обрабатываемой в банках информации, основная потенциальная угроза исходит от сотрудников банка, то есть от инсайдера. Поэтому при разработке модели нарушителя необходимо учитывать, что по сложившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал банка. А такие экзотические для большинства граждан меры защиты, как, например, защита от побочных электромагнитных излучений и наводок, являются в первую очередь прерогативой структур, обрабатывающих информацию, подпадающую под категорию государственной тайны.

Поэтому внутренние нарушители информационной безопасности в БИС - это сотрудники самого банка, являющиеся легальными участниками процессов управления банка, в том числе обеспечения расчетов его клиентов, а также персонал, обслуживающий банковские аппаратно-программные комплексы или допущенный к ним в соответствии со своими служебными обязанностями. Внутренние нарушители являются наиболее значимыми источниками угроз информационной безопасности.

И это вполне объяснимо, так как кредитно-финансовые организации традиционно являются уязвимыми именно к внутренним угрозам. Например , инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты банка или приватные данные его клиентов. Кстати, Стандарт Банка России по информационной безопасности (СТО БР ИББС-1.0-2006) явно указывает на то, что основная угроза для финансовых компаний исходит именно изнутри.

При подготовке модели нарушителя необходимо провести работу по определению грифа конфиденциальной информации. К строго конфиденциальной следует отнести финансовые документы, аналитические отчеты, документы о новых разработках и т.п., к конфиденциальной информации относятся документы, разглашение которых может привести к потерям в настоящее время, например аналитический отчет за месяц. В конце года он уже не будет так актуален для конкурентов, они будут охотиться за более новыми материалами. Эту работу не обязательно проводить силами своей службы безопасности. Можно привлечь специалистов со стороны, которые и проведут аудит безопасности. Конечно, необходимо придерживаться следующего правила: не привлекать к аудиту безопасности фирмы-производители средств защиты. Несложно догадаться, что они предложат для обеспечения защищенности вашей сети.

Вероятность нанесения ущерба тем выше, чем более высокой квалификацией обладает сотрудник, чем на более высоком уровне иерархии информационной инфраструктуры банка он находится и чем к большему объему электронных информационных ресурсов он имеет доступ.

Можно выделить следующие признаки классификации внутреннего нарушителя:

  • опыт и знания в профессиональной сфере;
  • доступные ресурсы, необходимые для выполнения служебных задач;
  • сфера функциональной деятельности;
  • наличие мотивации действий.

При отсутствии мотивации могут совершаться только непреднамеренные действия, ущерб от которых носит, как правило, разовый, несистемный характер.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами БИС. Выделяется четыре уровня этих возможностей. Классификация является иерархической, то есть каждый следующий уровень включает в себя функциональные возможности предыдущего.

Первый уровень пользователя определяет самый низкий уровень возможностей ведения диалога в БИС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Первый уровень нарушителя - это авторизованные пользователи информационных систем, представители менеджмента банка, реализующие угрозы путем нарушения регламентов работы с информацией, к которой они допущены в рамках их служебной деятельности на уровне бизнес-процессов. Наибольшая угроза при этом - инсайдерская деятельность и хищение денежных средств из систем расчетов. Эту категорию внутренних нарушителей можно разграничить на два подуровня:

  • руководящий и управленческий персонал банка:
  • пользователи БИС, то есть сотрудники, допущенные к информационным ресурсам в соответствии со своими служебными обязанностями и являющиеся потребителями сервисов автоматизированных информационных систем.

Второй уровень - уровень прикладного программиста - определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень - уровень администратора - определяется возможностью управления функционированием БИС, то есть воздействием на базовое программное обеспечение системы, на состав и конфигурацию ее оборудования. К этой категории относятся: персонал, имеющий право доступа к оборудованию, в том числе сетевому; администраторы сетевых приложений и т.п., реализующие угрозы в рамках своих полномочий (легальный доступ) и за их пределами (несанкционированный доступ).

Четвертый уровень - уровень системного программиста или разработчика БИС - определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств БИС, вплоть до включения в состав автоматизированных систем собственных технических средств с новыми функциями по обработке информации.

Главная цель, которую себе ставит внутренний нарушитель, - получение контроля над электронными информационными ресурсами банка, включая средства их обработки, хранения и предоставления, на самом высоком доступном для него уровне.

Для первого уровня нарушителей такими ресурсами являются банковские бизнес-процессы, для остальных - банковские технологические процессы, базы данных и операционные системы.

Естественно желание минимизировать число сотрудников, которые должны быть включены в модель нарушителя. Один из возможных путей - исключить из модели второй, третий и четвертый уровни нарушителей. Возможно это путем использования в банке на особо ответственных участках таких программных средств, которые не требуют участия программистов-разработчиков, а само создание и эксплуатацию базы данных осуществляют сотрудники первого уровня, то есть люди зачастую без базового технического образования. И ошибаются те, кто полагает, что это невозможно. Достаточно вспомнить, что подавляющее большинство "серых" нелегальных баз данных, продающихся на "черном" рынке информационных услуг, представлены в оболочке программных средств CRONOS PLUS, у которой настолько развит интуитивный интерфейс, что работать с ней может любой человек без соответствующего образования. А потратив на самообучение этих программных средств всего несколько часов, человек способен самостоятельно создавать собственные базы данных. Немудрено, что эти программные средства активно используются службами безопасности большого числа банков, так как ценность и важность обрабатываемых с их помощью данных исключают возможность допуска к ним штатных программистов.

Но, к сожалению, это не может являться универсальным выходом, ведь далеко не на всех участках работы можно установить подобные программные средства, взять хотя бы автоматизированные системы по обработке платежной информации. Какой может быть предложен выход из этой ситуации? Универсального выхода нет, но можно дать некоторые рекомендации из практики, которые не устраняют в полном объеме опасность, но минимизируют риски нарушения информационной безопасности. Предлагаемый список далеко не полный, а законченность ему может придать только учет специфики обработки конфиденциальной информации в конкретном банке. Итак, это:

  • определение, проведение и реализация политики и мер защиты безопасности;
  • недопущение разработчиков программных средств к участку эксплуатации созданных ими баз данных и соответствующих приложений;
  • блокировка всех устройств и разъемов соединения с внешними устройствами;
  • мониторинг, аудит и тестирование БИС и оборудования для обнаружения проблем с обеспечением информационной безопасности и самих программно-аппаратных и технических средств защиты;
  • обязательное разделение функций администраторов систем и администраторов информационной безопасности;
  • строгая регламентация работы администраторов систем и работа на наиболее ответственных участках только группой - не менее двух человек одновременно;
  • контроль за действиями сотрудников эксплуатации БИС с помощью визуальных средств наблюдения;
  • дополнительная надбавка к жалованию администраторов всех уровней с целью минимизации мотивации неправомочных действий;
  • ознакомление с новыми технологиями защиты и возможными угрозами информационной безопасности банка;
  • дополнительные организационные меры контроля, хорошо известные сотрудникам служб безопасности коммерческих банков, и т.д. и т.п.

Остановимся подробнее на первом уровне нарушителей, так как они составляют большую часть лиц, имеющих доступ к БИС, где обрабатывается конфиденциальная информация, тем более что соотношение IT-специалистов к остальным сотрудникам в среднем колеблется в банках от 1:30 до 1:50, поскольку они относятся к обеспечивающим подразделениям.

Этим и определяются отличия потенциальных нарушителей первого и последующих уровней в области нарушения конфиденциальности. Программист слабо разбирается в бизнес-процессах, но прекрасно ориентируется в программных средствах. Такие нарушители будут стараться похитить максимально для них возможный массив конфиденциальной информации и продать его конкурентам целиком. Менеджеру банка в силу его профессиональных способностей и служебных обязанностей намного сложнее сделать то, на что способен программист. Но он прекрасно разбирается в экономических вопросах и способен провести эффективную селекцию доступной для него информации с целью вычленения из нее наиболее значимой для дальнейшего использования конкурентами.

Примечание. Для иллюстрации сказанного приведем следующий пример. Допустим, в банке в электронном виде хранится информация о его клиентах с характеризующими их финансовое состояние данными. Нарушителю - IT-специалисту сподручнее сконцентрировать свои усилия на том, чтобы постараться похитить весь массив данных и продать его конкурентам коммерческого банка, где он работает. Для этого ему потребуется внешнее устройство накопления большой емкости: флэш-память; внешнее устройство записи на CD- или DVD-диски и, разумеется, доступ к самой базе данных на расширенных правах с возможностью копировать информацию. Поэтому и усилия по защите от такого рода потенциального нарушителя должны быть нацелены в первую очередь на ограничение его доступа к информации.

Легальный пользователь - экономист этой базы данных, скорее всего, опираясь на свои знания и опыт, с помощью запроса вычленит из общего массива наиболее притягательных с точки зрения их финансового состояния клиентов банка. Ему намного труднее скопировать весь массив данных, так как для пользователя, как правило, программными средствами накладываются ограничения на объем копируемой информации, а обойти это ограничение порой крайне затруднительно даже для "продвинутого пользователя". При этом у него нет нужды копировать весь массив, а достаточно визуально (с экрана) снять нужную ему информацию и попытаться сбыть ее конкурентам. К такого рода пользователям запретительные меры бесполезны, поскольку они и так являются авторизованными пользователями. В этом случае эффективны контроль и постоянный аудит действий этих сотрудников с последующим полным или выборочным отчетом о проделанной работе. И такую работу служба безопасности должна проводить совместно с руководством соответствующих структурных подразделений.

Сам аудит представляет собой специально разработанный программный комплекс, с помощью которого фиксируются все действия авторизованных пользователей информационных систем банка. Обработку этих данных должен вести специально выделенный сотрудник службы безопасности банка. Накопление и обработка подобного рода информации должны вестись на специальном сервере, доступ к которому имеет строго ограниченное число сотрудников из числа службы безопасности. По наиболее коммерчески ценной информации отчет по аудиту действий всех легальных пользователей представляется для визирования руководству соответствующих структурных подразделений банка.

Достаточно полезен аудит активности бюджетов пользователей, цель которого - обнаружить бездействующие, ошибочные или неправильно используемые бюджеты. Эти действия подразумевают, что бюджеты легальных пользователей должны регулярно проверяться на дату последнего доступа. Любой бюджет, к которому не обращались в течение N дней (например, 30, 60, 90), должен быть соответствующим образом помечен, и по нему нужно составить отчет. Неактивные бюджеты должны стать недоступными, и их следует заархивировать.

Сами руководители тоже не могут выступать в роли "жены Цезаря". В отношении их должен вестись такой же полноценный аудит, как и по отношению к рядовым сотрудникам. Только отчет об их действиях докладывается непосредственно руководству банка. Ему целесообразно также докладывать и о действиях остальных сотрудников банка, если их действия являлись исполнением личных поручений их прямых руководителей. При этом, чтобы не попадать постоянно впросак, руководству службы безопасности желательно хотя бы в общих чертах разбираться в бизнес-процессах банка.

Кроме вышесказанного, при подготовке модели нарушителя информационной безопасности целесообразно классифицировать рядовых сотрудников банка на две дополнительные категории.

Первая категория - это сотрудники, занятые на участках работы, где их деятельность строго регламентирована и упорядочена. Это могут быть работники учетно-операционного подразделения, бухгалтерии, отдела кадров, лица, осуществляющие массовый ввод информации в автоматизированные системы, и др. Контроль и аудит программно-аппаратными средствами за их действиями в рамках работы с БИС относительно прост, но накладывает дополнительные требования на организационные меры безопасности со стороны их непосредственного руководства.

Вторая категория - инновационный, креативный и эвристический менеджмент. К этой категории относятся сотрудники, занятые в большей степени аналитической работой, действия которых трудноформализуемы и которые имеют доступ к большому объему открытой и конфиденциальной информации. Это могут быть сотрудники управлений депозитных и кредитных операций, управлений планирования и развития банковских операций, а также посреднических и других операций и т.п. Организационные меры безопасности в отношении этой категории работников малоэффективны, поэтому их персональные автоматизированные рабочие места помимо защитного программного обеспечения целесообразно оборудовать дополнительными программно-аппаратными средствами защиты, к которым относятся: идентификация, проверка подлинности и контроль доступа пользователя к программам, файлам, записям и полям записей; регистрация и учет входа/выхода пользователя доступа в/из БИС (узла сети), а также выдачи печатных выходных документов и многие другие. Полный перечень этих программно-аппаратных средств защиты можно найти в руководящих и нормативных документах Федеральной службы по техническому и экспортному контролю.

Ранее мы говорили, что первый уровень нарушителя подразделяется на руководящий состав и рядовых сотрудников. Руководители в силу своих должностных обязанностей обладают наиболее агрегированной и ценной информацией, но поскольку эта категория лиц является высокооплачиваемой, то и мотивация их действий как потенциальных нарушителей минимальна. Вот здесь мы и подходим к банальному выводу, что корпоративная преданность сотрудников банка прямо пропорциональна их материальному уровню. Хотя нельзя забывать и о моральном климате в том или ином коллективе, и о том, что отсутствие перспектив роста для сотрудника также является отрицательным фактором.

Отсюда напрашивается вывод, что модель нарушителя информационной безопасности в коммерческом банке должна постоянно корректироваться. Для каждого уровня нарушителя должен быть определен список так называемых проблемных лиц. В него целесообразно внести сотрудников, имеющих те или иные проблемы, решение которых возможно только с использованием денежных средств.

Это могут быть личностные недостатки: наркозависимость, склонность к алкогольным напиткам, увлечение азартными играми, шантаж третьими лицами за какие-либо неблаговидные в прошлом поступки, склочность характера, зависть к успехам других людей и т.п.

Это также могут быть семейные проблемы: болезнь родных и близких, требующая дорогостоящего лечения; квартирная проблема; финансовые долги; необходимость дорогостоящего обучения детей и т.п.

На таких лиц служба безопасности должна обращать особое внимание. Информацию о них можно получить как в управлении персоналом, так и от руководства и сослуживцев. Поэтому сотрудники безопасности не должны выделять себя в отдельную касту, а "идти в народ", постоянно общаясь с работниками банка, в том числе в неформальной обстановке.

Сам список этих лиц является строго конфиденциальным. Неверно было бы и проведение с ними профилактических бесед, так как это может незаслуженно обидеть людей. Но в отношении этих лиц необходимо проводить дополнительные организационные меры и программные средства защиты. Что касается автоматизированных рабочих мест таких лиц, то службе безопасности целесообразно проводить так называемый активный аудит, а проще говоря, перлюстрацию информационных массивов, хранящихся на их персональных компьютерах, а также их электронной почты. Подобный активный аудит позволяют осуществлять имеющиеся на рынке программные средства защиты, такие как сетевой Real Secure. Такие средства защиты целесообразно устанавливать на все персональные компьютеры, где обрабатывается конфиденциальная информация. Разумеется, такой тотальный контроль всех работников банка крайне затруднителен для службы безопасности в силу ее ограниченных ресурсов, но выборочный мониторинг действий "проблемных лиц" вполне ей под силу.

Подобные действия ни в коей мере не ущемляют права и свободы работников этого банка, не являются нарушением Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" <*> и являются распространенной практикой крупнейших российских и зарубежных компаний. Для снятия всех вопросов внутрикорпоративным документом возможно либо запретить на персональных компьютерах работников хранить и обрабатывать личные данные, либо предупредить их о возможном доступе к этим данным третьих лиц.

<*> Документ вступает в силу с 26 января 2007 г. в соответствии с ч. 1 ст. 25 данного Закона - по истечении 180 дней после официального опубликования (опубликован в "Российской газете" 29.07.2006).

Сам перечень таких лиц необходимо постоянно корректировать. В него обязательно должны включаться лица, выразившие желание по тем или иным причинам уволиться из банка.

На основе классификации для конкретной банковской автоматизированной информационной системы (в зависимости от ее особенностей - технологии, программно-аппаратная платформа и т.д.) разрабатывается конкретная модель внутреннего нарушителя. Эта модель наряду с другими параметрами автоматизированной системы (уязвимость, уровень конфиденциальности информации и т.д.) ложится в основу построения подсистемы информационной безопасности (ПИБ) данной банковской автоматизированной информационной системы.

Разработка и внедрение ПИБ минимизируют операционные риски <**> деятельности кредитной организации, которые в конечном итоге сказываются и на самих бизнес-процессах данной кредитной организации.

<**> Операционные риски порождаются следующими эксплуатационными факторами: технические неполадки, ошибочные (случайные) и (или) преднамеренные злоумышленные действия персонала кредитной организации, ее клиентов при их непосредственном доступе к банковской автоматизированной системе и др.

По оценке экспертов, именно операционные риски сегодня являются серьезным препятствием на пути к созданию эффективной системы управления рисками. Между тем Соглашение Базель II (которое требует использовать управление, ориентированное на операционные риски) в отличие от Базеля I (которое требует использовать управление, ориентированное в первую очередь на рыночные и кредитные риски) предписывает учитывать этот вид угроз и резервировать под него капитал. Такое внимание к управлению рисками в целом и операционными рисками в частности продиктовано тем, что коммерческий банк, который будет в состоянии наиболее точно оценить свои операционные риски и продемонстрировать свою уверенность регулятору, сможет резервировать меньшие объемы капитала под эти риски. Это, в свою очередь, позволит данному банку существенно повысить свою конкурентоспособность относительно менее продвинутых коммерческих банков.

Кроме того, хотя в состав операционных рисков не входят те, что связаны с репутацией, тем не менее реализация многих угроз может привести к отрицательным последствиям в виде ущерба имиджу и потери репутации. Например , если инсайдеры ограбят клиентов банка (самая опасная операционная угроза), то об этом наверняка станет известно широкой общественности. В результате репутация банка может пострадать, что приведет к сокращению клиентской базы и снижению прибыли. Таким образом, риски, связанные с репутацией, могут быть прямым следствием реализации операционных угроз. Опасаясь этого, банки зачастую не оповещают общественность о реализации операционных угроз, благо в настоящее время закон им это и не вменяет в обязанность. Например , если коммерческий банк выявит инсайдера, пытавшегося совершить мошенничество или продававшего приватные данные клиентов, он не станет обращаться в суд и постарается уладить дело без лишнего шума. В результате таких действий инсайдеры часто уходят от ответственности, однако и банки спасают таким образом свою репутацию. Тем не менее развитие российской законодательной базы рано или поздно приведет к тому, что подобные инциденты станут полностью прозрачными как для правоохранительных органов, так и для прессы.

Россия планирует присоединиться к Соглашению Базель II в 2009 г. Но отдельные положения этого Соглашения банкам придется выполнять уже в 2008 г. Именно к этому времени банки должны внедрить ПИБы, позволяющие минимизировать наиболее опасные операционные угрозы - ущерб в результате действий персонала и внутренних процессов. Создание и внедрение ПИБов должно вестись в соответствии с политикой информационной безопасности кредитной организации, разрабатываемой в том числе на основе модели угроз и модели нарушителей информационной безопасности конкретного банка.

В.В.Бабкин

Заместитель начальника

Управления безопасности и защиты информации

Московского главного территориального

управления Банка России


- Что будет если скрестить ежа и ужа ?

- Полтора метра колючей проволоки!

Те кто уже успел изучить новые методики регуляторов по моделированию угроз, наверное заметили, что большое внимание уделяется описанию потенциального нарушителя. Например, в проекте методики моделирования угроз от ФСТЭК подробно описаны виды нарушителей и их мотивация. В банке угроз ФСТЭК, для каждой угрозы задан тип и потенциал нарушителя, который может ее реализовать. В общем, модель нарушителя перестает быть простой формальностью и начинает оказывать большое влияние на перечень актуальных угроз.

Проблема в том, что подходы двух регуляторов (ФСБ и ФСТЭК) к формированию модели нарушителя, несколько отличаются. ФСБ отвечает за регулирование в области криптографии и ее методика в основном служит для выбора класса криптосредств. Соответственно, ФСБ при описании нарушителя делает упор на возможностях нарушителя по атакам на криптосредства и среду их функционирования (СФ). Методика ФСТЭК более широкая и описывает возможности нарушителя по атакам на систему в целом.

В результате перед разработчиком модели угроз стоит выбор: либо сделать две модели нарушителя по разным методикам, либо пытаться объединить подходы обоих регуляторов в едином документе.

Поэтому обычно разрабатывается два документа: модель угроз ФСТЭК (включающая свое описание нарушителей) и, отдельно, модель нарушителя ФСБ. По крайней мере так поступали безопасники в большинстве проектов, которые я видел. Две модели нарушителя в одном проекте - это то не очень логично.

В связи с выходом новых документов ФСТЭК и ФСБ, интересно насколько сблизились подходы регуляторов к к описанию потенциальных нарушителей. Стала модель нарушителя более логичной?

Модель нарушителя по ФСТЭК

В проекте методики ФСТЭК перечислены виды нарушителей и их потенциал. Потенциал нарушителя может быть высоким, средним или низким. Для каждого из вариантов задан свой набор возможностей:

Так, нарушители с низким потенциалом могут для реализации атак использовать информацию только из общедоступных источников. К нарушителям с низким потенциалом ФСТЭК относит любых "внешних" лиц, а также внутренний персонал и пользователей системы.

Нарушители со средним потенциалом имеют возможность проводить анализ кода прикладного программного обеспечения , самостоятельно находить в нем уязвимости и использовать их. К таким нарушителям ФСТЭК относит террористические и криминальные группы, конкурирующие организации, администраторов системы и разработчиков ПО.

Нарушители с высоким потенциалом имеют возможность вносить закладки в программно-техническое обеспечение системы , проводить специальные исследования и применять спец. средства проникновения и добывания информации. К таким нарушителям ФСТЭК относит только иностранные спецслужбы.

Возможности нарушителей по ФСБ

Как уже говорилось выше, у ФСБ своя методика угроз, с криптосредствами и СФ:) В недавно вышедших методических рекомендациях приводится 6 обобщенных возможностей нарушителей:
1) Возможность проводить атаки только за пределами КЗ;
2) Возможность проводить атаки в пределах КЗ, но без физического доступа к СВТ.
3) Возможность проводить атаки в пределах КЗ, с физическим доступом к СВТ.
4) Возможность привлекать специалистов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН;
5) Возможность привлекать специалистов, имеющих опыт в области использования НДВ прикладного ПО ;
6) Возможность привлекать специалистов, имеющих опыт в области использования НДВ аппаратного и программного компонентов среды функционирования СКЗИ.

Эти возможности соответствуют классам криптосредств (СКЗИ). В зависимости от того, какую возможность мы признаем актуальной, необходимо использовать СКЗИ соответствующего класса. Подробнее это детализировано в другом документе - в приказе ФСБ №378.

Конкретных примеров нарушителей (террористы, конкуренты и т.д.) в своих новых документах ФСБ не дает. Но вспомним, что ранее были методические рекомендации ФСБ 2008 г.. В них то как раз рассказывалось о 6 типах нарушителей, которые обозначались как Н1- Н6. Возможности описанные в новых документах ФСБ соответствуют тем самым нарушителям Н1 - Н6 из старых методических рекомендаций.

Объединяем нарушителей ФСТЭК и ФСБ

Если прочесть описание возможностей нарушителя, то можно заметить, что оба регулятора уделяют внимание возможностям нарушителя по использованию НДВ. Сравнив описания нарушителей у ФСТЭК и ФСБ, получим примерно следующее:

  • Нарушители с низким потенциалом по ФСТЭК – это нарушители Н1-Н3 по классификации ФСБ;
  • Нарушитель со средним потенциалом по ФСТЭК – это нарушители Н4-Н5 по классификации ФСБ.;
  • Нарушитель с высоким потенциалом по ФСТЭК – это нарушитель Н6 по ФСБ (т.е. сотрудник иностранной технической разведки).

Таким образом, для каждого нарушителя из методики ФСТЭК можно взять вполне определенный набор свойств из методики ФСБ.

Выбираем подходящих нарушителей и избавляемся от остальных

Остается только определиться, каких нарушителей рассматривать для конкретной информационной системы. А это регулятор сам подсказывает нам, уже на этапе классификации системы.

В случае государственной информационной системы, приглядимся к п.25 приказа ФСТЭК №17. В нем сказано:

  • для информационных систем 1 класса защищенности, система защиты должна обеспечивать нейтрализацию угроз от нарушителя с высоким потенциалом;
  • для информационных систем 2 класса защищенности - нейтрализацию угроз от нарушителя со средним потенциалом;
  • для информационных систем 3 и 4 классов защищенности- нейтрализацию угроз от нарушителя с низким потенциалом.

То есть, хотя бы предварительно классифицировав систему, мы можем сделать вывод о том, какие виды нарушителей регулятор считает для нее актуальными.

Остается лишь описать данных нарушителей в модели нарушителя, а нарушителей с более высоким потенциалом исключить. Аргументы для исключения "лишних" нарушителей можно взять из приложения к методике моделирования угроз ФСБ.

В случае, если система не относится к ГИС, стоит взглянуть на три типа угроз из ПП 1119:

  • Угрозы 1-го типа - связаны с наличием НДВ в системном ПО.
  • Угрозы 2-го типа связаны с наличием НДВ в прикладном ПО.
  • Угрозы 3-го типа не связаны с наличием НДВ в ПО.

Угрозы 1 типа явно может использовать только нарушитель с высоким потенциалом. Угрозы 2 типа - нарушитель со средним потенциалом, а угрозы 3 типа - с низким. Поскольку большинство операторов рассматривают актуальными только угрозы 3 типа, то потенциал у нарушителей будет низкий.

Резюме

У новых методик ФСТЭК и ФСБ есть внятные точки соприкосновения. Грамотно комбинируя обе методики, можно разработать общую и непротиворечивую модель угроз. А заодно и снизить потенциал нарушителя и класс используемых средств защиты.

  1. Многое зависит и от класса (уровня защищенности) информационной системы. Нужно проявлять осторожность и не завышать класс без веских на то оснований. Иначе можно "попасть" на нарушителей со средним и высоким потенциалом (и получить повышенные требования к средствам защиты).
  2. Для каждого класса можно подобрать подходящих нарушителей из методики ФСТЭК (при этом обоснованно исключив остальных нарушителей).
  3. Каждый нарушитель из методики ФСТЭК соотносится с определенным типом нарушителей из методики ФСБ (а также с соответствующим классом криптосредств)
Получившаяся "картина мира" представлена в таблице.

ПП 1119

Приказ ФСТЭК №17

Проект методики определения угроз ФСТЭК

Метод. рек. ФСБ 2008

Приказ ФСБ 378


Тип

угроз

Класс ГИС и соотв. набор мер

Потенциал

нарушителя

Вид нарушителя

Обобщенные возможности нарушителя относительно СКЗИ

Тип нарушителя ФСБ

Класс

СКЗИ


3 тип

К3, К4

Николай С. Егошин, Антон А Конев, Александр А. Шелупанов


Аннотация

Под моделью нарушителя понимаются предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности. Модель нарушителя является важной частью информационной безопасности организации. Важно понимать, что игнорирование или недобросовестное построение модели «для галочки» может серьезно отразиться на сохранности конфиденциальной информации и привести к ее потере. Модель нарушителя носит неформальный характер, и, как следствие, не существует строго однозначной методики по составлению таковой. Множество авторов в научно-технической литературе описывает различные методы классификации нарушителей, меж тем многие специалисты по информационной безопасности, работающие на предприятиях, вынуждены составлять свои нормативно-методические документы, так как существующие модели далеко не всегда удовлетворяют всем особенностям работы организации. Несмотря на то, что многие модели имеют высокий уровень корреляции между классификационными признаками, выработать единую модель до сих пор не удалось. В данной работе предпринимается попытка разработки своей собственной методики формирования модели нарушителя. Перед началом работы были сформированы следующие задачи научно-исследовательской работы: 1) изучить существующие методики построения модели нарушителя; 2) выявить недостатки существующих методик; 3) разработать модель нарушителя и методику составления перечня наиболее вероятных нарушителей, учитывающую выявленные недостатки. В ходе работы были проанализированы несколько существующих моделей нарушителя, в результате этого были выявлены их недостатки и определены сложности, на которые было обращено внимание при разработке собственной модели нарушителя. В разработанной модели были построены причинно-следственные связи между элементами модели и цепочками предполагаемых последствий, описаны и ранжированы возможные виды предполагаемых нарушителей. Модель позволяет строить более полное описание нарушителя информационной безопасности.


Ключевые слова

модель нарушителя; модель угрозы; информационная безопасность; конфиденциальная информация


Литература

1 Герасименко В. А. Основы защиты информации в автоматизированных системах: В 2 кн. – Кн. 2. – М.: Энергоатомиздат, 1994. – 176 с.

2 Стефаров А. П., Жукова М. Н. О сравнении моделей нарушителя правил разграничения доступа в автоматизированных системах // Информационное противодействие угрозам терроризма. 2013. № 20. С. 147-151.

3 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка): методика, утв. ФСТЭК РФ 15.02.2008 // Собрание законодательства. 2008. 156 с.

4 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации [Текст] : утв. Руководством 8 Центра ФСБ России 21 февр. 2008 года № 149/54-144. – М., 2008. – 20 с.

5 Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: руководящий документ, утв. РД Гостехкомиссии 30.03.1992.

6 Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли: методика, одобрено секцией №1 Научно-технического совета Минкомсвязи России «Научно-техническое и стратегическое развитие отрасли» от 21.04.2010.

7 Белоножкин В. И. Модель нарушителя безопасности региональной антитеррористической ИАС. // Информация и безопасность. 2006. № 2. С. 155-157.

8 Федюнина А. П., Коломина И. В. Неформальная модель нарушителя в информационной сфере. // Вестник Астраханского государственного технического университета. 2007. № 3. С. 166-168.

9 Гришина Н. В. Модель потенциального нарушителя объекта информатизации. // Известия ЮФУ. Технические науки. 2003. С. 356-358

10 Аютова И. В. Модель нарушителя безопасности ВУЗа // Сборники конференций НИЦ Социосфера. № 8. 2012. С. 372-388.

11 Чебанов А.С., Жук Р.В., Власенко А.В., Сазонов С.Ю. Модель нарушителя комплексной системы обеспечения информационной безопасности объектов защиты. // Известия Юго-Западного государственного университета. Серия: управление, вычислительная техника, информатика, медицинское приборостроение. 2013. № 1. С. 171-173.

12 Десницкий В.А., Чеулин А.А. Обобщенная модель нарушителя и верификация информационно-телекоммуникационных систем со встроенными устройствами. // Технические науки – от теории к практике. 2014. № 39. С. 7-21.

13 Novokhrestov A., Konev A. Mathematical model of threats to information systems // AIP conference proceedings. 2016. vol. 1772. pp. 060015.

14 Скрыль С. В., Исаев О. В. Имитационное моделирование процесса преодоления «моделью» нарушителя комплексов средств охраны. // Вестник Воронежского института ФСИН России. 2013. № 1. С. 65-67.

15 Конев А.А., Давыдова Е.М. Подход к описанию структуры системы защиты информации // Доклады ТУСУР. 2013. №2(28). С. 107–111.