Определение: Угроза — то, что может нанести ущерб.
Определение: Нарушитель — субъект, реализующий угрозу.
Определение: Актив — то, что имеет ценность для организации.
Определение: Атака — реализация угрозы.
Определение: Инцидент — реализованная угроза.
Определение: Риск — совокупность вероятности реализации угрозы и нанесенного ущерба.
Определение: Организация — группа, объединенная для достижения какой-либо определенной общей цели.
Информационная безопасность для бизнеса:
-
Минимизация рисков;
-
Ценность для бизнеса.
Определение: Процесс — вид деятельности в организации: берет что-то на входе и дает что-то на выходе. Является повторяемым и запускается по некоему “триггеру”.
Определение: Функция — это более абстрактная вещь (ее, в отличие от процесса, нельзя задокументировать).
Определение: Данные — информация в определенном виде, форме.
Определение: Идентификация — говорим системе кто мы (логин).
Пример: Говорим имя кому-либо.
Определение: Аутентификация — система подтверждает, что это мы.
Пример: Показываем паспорт кому-либо.
Определение: Авторизация — получение доступа к данным.
Пример: Вас пропускают на второй этаж чего-либо.
Определение: Конфиденциальность — означает, что неавторизованный пользователь не получит доступа к данным.
Определение: Доступность — авторизованный пользователь сможет зайти и будет иметь доступ к данным.
Определение: Целостность — такое свойство информации, которое заключается в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию)..
Определение: Информация — сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, необходимые для оптимизации принимаемых решений в процессе управления данными объектами
Нелояльность, неблагонадежность
Определение: Нелояльность — степень внутренней готовности к нарушению правил в отношении чего-либо.
Определение: Неблагонадежность — потенциальная возможность нарушить установленные в обществе правила, нормы, ценности.
Внутренний нарушитель.
Определение: Текущий или бывший сотрудник, подрядчик или бизнес партнер, которые имеет или имел авторизованный доступ к сети, системе или данным организации, который преднамеренно превысил или использовался доступ таким образом, что негативно повлиял на конфиденциальность, целостность, доступность информации организации или ее информационных систем.
Виды внутренних нарушителей:
-
Немотивированный (халатный, манипулируемый);
-
Мотивированный (обиженный, нелояльный, подрабатывающий);
-
Внедренный специально.
Общая модель внутреннего нарушителя
Виды моделей:
-
Формальная;
-
Неформальная.
Формальное моделирование внутреннего нарушителя:
-
Схема взаимодействия основных элементов системы;
-
Разработка системы причинно-следственных связей (диаграмма);
-
Диаграмма потоков;
-
Проверка модели.
Угроза |
Мотив |
Предполагаемое увольнение |
Сговор внутренний |
Сговор внешний |
IT-саботаж |
Увольнение, обида, ссора, неадекватность, подстава, выдра. |
Да, уже уволен (но не всегда) |
Нет |
Нет |
IT-шпионаж |
Деньги, обида, неадекватность |
Нет |
Чаще да |
Да |
Мошенничество на руководящей должности |
Деньги, выгода |
Нет |
Нет |
Нет |
Мошенничество на неруководящей должности |
Деньги, выгода |
Нет |
Не всегда |
Не всегда |
Кража интеллектуальной собственности |
Деловые преимущества |
Да |
Нет |
Да |
Кража ИСБ с соучастниками |
Деловые преимущества |
Да |
Да |
Да |
Незлоумышленный нарушитель |
Нет |
Нет |
Нет |
Нет |
Саботаж
Определение: Угроза ИБ, использование внутренним нарушителем ИБ информационной системы организации для нанесения вреда организации или сотруднику.
Технические индикаторы:
-
Создание и использование скрытой учетной записи;
-
Загрузка утилит и вредоносного кода;
-
Доступ через систему нового работодателя;
-
Несанкционированная передача информации;
-
Установка несанкционированного сетевого подключения для последующего доступа;
-
Удаление файлов, баз данных и т.д.;
-
Обрезка кабелей;
-
Хищение или повреждение резервных копий;
-
Хищение электроники, ПО и документации;
-
Доступ к системе после увольнения;
-
Отказ вернуть корпоративный ПК после увольнения;
-
Совместное использование пароля;
Поведенческие индикаторы:
-
Алкогольная или наркозависимость;
-
Приступы паники;
-
Публичное оскорбление людей, блять;
-
Драки;
-
Повышенная чувствительность к критике;
-
Чувство, что другие люди тебя не ценят;
-
Трудности с контролем гнева;
-
Межличностные проблемы и конфликты;
-
Отказ соблюдать правила;
-
Жалобы;
-
Кража компьютеров;
-
Кража документов с работы;
-
Использование ресурсов компании не по назначению;
-
Сокрытие информации от членов команды.
Примеры:
-
UNIX-программиста Р. Маквана уволили в 200 году, он при этом обслуживал около 5000 серверов компании Fannie Mae, работая по контракту с 2006 по 2008 годы. В отместку Маквана, имея рут доступ ко всем основным системам, включая бекапы, внедрил в одну из стандартных программ вредоносный код, который при срабатывании уничтожил бы (31 января 2009 года) всю информацию на всех серверах компании, включая данные о финансах, ценных бумагах, ипотечных кредитах миллионов граждан США (“логическая бомба”). Код был замечен случайно, Маквана посадили на 41 месяц. Занавес.