Модель нарушителя информационной безопасности

Нарушитель информационной безопасности – это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов или ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Система защиты должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.):

1. «Неопытный (невнимательный) пользователь» – пользователь ОАО «ИНТЕРСВЯЗЬ», зарегистрированный как пользователь системы, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам с превышением своих полномочий, ввода некорректных данных и т.п., по ошибке, некомпетентности или халатности, без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства.

2. «Любитель» – пользователь ОАО «ИНТЕРСВЯЗЬ»,, зарегистрированный как пользователь системы, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства.

3. «Мошенник» – пользователь ОАО «ИНТЕРСВЯЗЬ», зарегистрированный как пользователь системы, который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого сотрудника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).

4. «Внешний нарушитель (злоумышленник)» – постороннее лицо, возможно зарегистрированное как пользователь системы (например, сотрудник сторонней организации, являющейся информационным посредником ОАО «ИНТЕРСВЯЗЬ»), действующее целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Внешний нарушитель может использовать весь набор способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования, включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети ККС ОАО «СИБИРЬТЕЛЕКОМ».

5. «Внутренний злоумышленник» – пользователь ОАО «ИНТЕРСВЯЗЬ», зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками Общества. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и извне – из сетей общего пользования.

Внутренним злоумышленником может быть лицо из следующих категорий сотрудников ОАО «ИНТЕРСВЯЗЬ»:

-сотрудники подразделений ОАО «ИНТЕРСВЯЗЬ» не допущенные к работе;

-сотрудники Департамента безопасности;

-руководители различных уровней.

Категории лиц, которые могут быть внешними нарушителями:

-уволенные сотрудники;

-технический персонал, обслуживающий здания (уборщицы, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты ОАО «ИНТЕРСВЯЗЬ»);

-посетители (приглашенные представители организаций, представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.);

-члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию;

-лица, умышленно проникшие в сети ОАО «ИНТЕРСВЯЗЬ» из внешних (по отношению к ней) сетей телекоммуникации (хакеры).

Пользователи и информационные посредники из числа сотрудников ОАО «ИНТЕРСВЯЗЬ» имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами или спецслужбами.

Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа. Полученные в ОАО «ИНТЕРСВЯЗЬ» знания и опыт выделяют их среди других источников внешних угроз.

Конкуренты и Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников Общества всеми доступными им силами и средствами.

Профессиональные хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств. Наибольшую угрозу представляют при взаимодействии с работающими и уволенными сотрудниками ОАО «ИНТЕРСВЯЗЬ» и криминальными структурами.

Внешние информационные посредники (организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем) представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Конкуренты, криминальные структуры и спецслужбы могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации.

Принимаются следующие ограничения и предположения о характере действий возможных нарушителей:

работа по подбору кадров и специальные мероприятия исключают возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий двух и более нарушителей – сотрудников ОАО «ИНТЕРСВЯЗЬ»по преодолению системы защиты;

нарушитель скрывает свои несанкционированные действия от других сотрудников ОАО «ИНТЕРСВЯЗЬ»;

несанкционированные действия могут быть следствием ошибок, как пользователей, так и информационных посредников, а также недостатков принятой технологии обработки, хранения и передачи информации;

в своей противоправной деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.