Обеспечение информационной безопасности бизнеса
Шрифт:
Моделирование угроз ИБ от персонала позволяет ответить на следующие вопросы.
— Кто является источником угрозы?
— Какие причины и условия способствуют реализации угроз ИБ от персонала?
— По какому сценарию может реализоваться угроза?
— К каким последствиям может привести реализация угрозы?
Кроме того, модель угроз ИБ от персонала может быть использована для решения следующих задач в рамках противодействия таким угрозам:
— сопоставление значимости для организации различных угроз ИБ от персонала;
— оценка
— поддержка деятельности по разработке в организации внутренних нормативных и организационно-распорядительных документов;
— аналитическое обеспечение деятельности по выявлению областей повышенного риска ИБ от персонала;
— другие задачи, связанные как с принятием решений по защитным мерам, так и с применением защитных мер.
4.2.2. Типология инцидентов
Обобщение мировой практики позволяет выделить следующие типы инцидентов ИБ с участием персонала организации:
— разглашение служебной информации;
— фальсификация отчетности;
— хищение финансовых и материальных активов;
— саботаж деятельности организации;
— злоупотребление служебными полномочиями;
— сокрытие правонарушений.
Под разглашением служебной информации организации (нарушение конфиденциальности служебной информации, утечка) понимается ее распространение за пределы информационной системы, в которой обрабатывается такая информация, или за пределы круга лиц, которым эта информация доверена.
Можно выделить следующие способы разглашения информации.
— Отчуждение информации, которое состоит в несанкционированном и скрытном копировании небольших фрагментов или значительного массива служебной информации (например, множества документов или базы данных) за пределы области, установленной организацией для хранения этой информации с возможной последующей передачей информационного массива сторонним лицам. Отчуждение может осуществляться внутренним злоумышленником с использованием твердых копий документов (вынос документов, использование почтовой связи) или съемного (флеш-диски и другие портативные накопители) носителя информации, с использованием фото/видеоаппаратуры, а также проводных или беспроводных каналов связи и другими способами.
— Разглашение информации, известной инсайдеру в силу своего служебного положения, третьим лицам, а также предоставление таким лицам консультаций, рекомендаций и аналитических материалов. Такая деятельность может осуществляться в устной форме или путем подготовки инсайдером документа на основе информации, известной инсайдеру в силу своего служебного положения.
Можно выделить следующие способы получения инсайдером разглашаемой служебной информации:
— инсайдер не осуществляет специальный поиск разглашаемой информации, она стала известна ему в результате штатной деятельности из служебных документов
— инсайдер обладает штатным доступом к служебной информации в качестве пользователя информационной системы и может осуществлять поиск необходимых ему материалов в информационной системе по их атрибутам, ознакомление с их содержимым и (или) копирование целиком или отдельными фрагментами;
— инсайдер не обладает штатным доступом к служебной информации, интересующей сторонних лиц, и запрашивает соответствующие дополнительные полномочия, мотивируя некоторой правдоподобной служебной необходимостью;
— инсайдер осуществляет несанкционированное получение информации, используя слабости системы разграничения доступа, осуществляя кражу носителей или оборудования, восстановление остаточной информации, используя специальную аппаратуру или программные средства для съема или перехвата информации, используя приемы социальной инженерии, идентификатор и прочие атрибуты безопасности другого пользователя, ошибки персонала и другие возможности;
— инсайдер выполняет обязанности администратора в информационной системе, а информация, обрабатываемая в данной системе, оказывается доступна ему для ознакомления или копирования как лицу с полномочиями системного администратора;
— инсайдер получает служебную информацию при устном неформальном общении с другими инсайдерами, обладающими такой информацией;
— инсайдер получает информацию путем анализа и обобщения фактов, фрагментов информации, полученных им из различных источников — штатным образом, путем наблюдения за поведением и общением субъектов, за распорядком деятельности и т. д.;
— инсайдер получает служебную информацию в результате сговора с другим инсайдером, получившим доступ к информации одним из перечисленных в настоящем перечне способов.
Разглашенная инсайдером служебная информация может быть объединением фрагментов информации, полученной различными способами из числа приведенных выше.
Фальсификация отчетности состоит в умышленном представлении ложных или искаженных отчетов по результатам некоторой деятельности. Собственно фальсифицируемые отчеты, могут относиться как к внутренней деятельности организации, так и к отношениям организации с внешними структурами (государственными органами, материнской компанией, дочерними компаниями, кредиторами).
По целям фальсификация отчетности может быть классифицирована следующим образом:
— сокрытие или, напротив, демонстрация неудовлетворительных показателей деятельности;
— демонстрация завышенных результатов деятельности для получение поощрения или дополнительного трудового вознаграждения;
— введение в заблуждение контрагентов организации;
— введение в заблуждение регулирующих и правоохранительных органов;
— сокрытие нарушений законов, требований регулирующих органов, внутренних нормативных актов организации.