Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

Нарушитель правил разграничения доступа

Материал из wikisec
Перейти к навигации Перейти к поиску

Нарушитель правил разграничения доступа (Нарушитель ПРД) (англ. Security policy violator) - субъект доступа, осуществляющий несанкционированный доступ к информации.

Источник: Защита от несанкционированного доступа к информации. Термины и определения

Внешний нарушитель

Классификация внешних нарушителей

Надо добавить если такие есть !!

Внутренний нарушитель

Классификация внутренних нарушителей

Наибольшую опасность для инфромационной безопасности предприятия представляют его сотрудники, так как работая с информацией для служебного пользования, они имеют к ней доступ и поэтому могут нанести ущерб предприятию. У каждого такого случая есть свои особенности такие как: Умысел(специально или по неосторожности), корысть (была ли цель получения выгоды), Постановка задач (кто разработал план действий и была ли он), действия при невозможности (совершить действие опасное для информационной безопасности предприятия. Сотрудники подразделения информационной безопасности компании, могут спрогнозировать поведение нарушителя при невозможности осуществления попытки передачи информации. Кроме того, рассматривая средства защиты, всегда надо иметь в виду, против каких нарушителей эти средства действенны, а против каких — нет. Мы разделяем нарушителей на пять основных видов: неосторожные, манипулируемые, саботажники, нелояльные и мотивеируемые извне. Рассмотрим каждый вид и их подвиды подробнее.


Экосистема внутренних нарушителей

Тип Нарушителя Умысел Корысть Постановка задачи Действия при невозможности
Халатный Нет Нет Нет Сообщение
Манипулируемый Нет Нет Нет Сообщение
Обиженный Да Нет Сам Отказ
Нелояльный Да Нет Сам Имитация
Подрабатывающий Да Да Сам\Извне Отказ\ Имитация\ Взлом
Внедренный Да Да Сам\Извне Взлом

Неосторожные (халатные)

Создают угрозы безопасности не из умысла а по своей халатности. в основном они нарушают правила хранения конфиденциальной информации,действуя из лучших побуждений. Самые частые инциденты это вынос информации из офиса для работы с ней дома, в командировке и т.д.с дальнейшей утерей носителя или доступом членов семьи к этой информации. Ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить копирование информации такой нарушитель — обратится за помощью к коллегам или системному администратору, которые объяснят ему, что вынос этой информации за пределы офиса запрещен. Потому против таких нарушителей действенными являются простые технические средства предотвращения каналов утечек — контентная фильтрация исходящего трафика в сочетании с менеджерами устройств ввода- вывода.

Манипулируемые

Последние годы термин "социальная инженерия" чаще всего используется для описания различных типов мошенничества в Сети. Однако манипуляции используются не только для получения обманным путем персональной информации пользователей — паролей, персональных идентификационных номеров, реквизитов кредитных карт и адресов. Известный экс-хакер Кевин Митник считает, что именно социальная инженерия сегодня является "бичом" информационных систем. Примеры, которые приводит Митник в своей книге "Искусство обмана", показывают, например, что "добросовестная" секретарша может по просьбе злоумышленника "для надежности" продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик. Таким образом может быть осуществлена утечка. Другим примером манипулируемого сотрудника может служить сотрудник, начальник которого является злоумышленником и отдает этому сотруднику преступные приказы отправить в ненадлежащее место конфиденциальную информацию. И в том и в другом случае сотрудники, наткнувшись на невозможность совершить требуемое манипулятором, обратятся в службу поддержки. Поскольку манипулируемые и неосторожные сотрудники действуют из своего понимания "блага" компании (оправдываясь тем, что иногда ради этого блага нужно нарушить дурацкие инструкции, которые только мешают эффективно работать), два этих типа нарушителей иногда объединяют в тип "незлонамеренных". Как уже говорилось выше, ущерб не зависит от намерений, зато от намерений зависит поведение нарушителя в случае невозможности осуществить свое действие. Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток нарушить регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий.

Саботажники (обиженные сотрудники)

Саботажники — это сотрудники, стремящиеся нанести вред компании из-за личных мотивов. Чаще всего мотивом такого поведения может быть обида из-за недостаточной оценки их роли в компании — недостаточный размер материальной компенсации, неподобающее место в корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, секретаря). Для оценки моделей поведения нарушителя отметим два ключевых отличия от других типов нарушителей — во-первых, сотрудник не собирается покидать компанию и, во- вторых, цель сотрудника — нанести вред, а не похитить информацию. То есть он стремится к тому, чтобы руководство не узнало, что утечка произошла из-за него, и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою разрушительную энергию на что-нибудь другое, например на уничтожение или фальсификацию доступной информации, или похищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать. Чаще всего это пресса или теневые структуры, соответственно для оглашения или шантажа. Примером реализации такой угрозы может служить передача экологической прессе данных о состоянии затопленных ядерных подводных лодок одним из сотрудников предприятия, ответственного за мониторинг этого состояния

Нелояльные

В последнее время также увеличилось количество инцидентов, связанных с похищением интеллектуальной собственности высокотехнологичных европейских и американских компаний стажерами из развивающихся стран, поэтому временных сотрудников иногда также относят к этому типу. По направленности угроза, исходящая от таких нарушителей, является ненаправленной — нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как они ее будут использовать. К этому же типу мы относим и тех сотрудников, которые, решив сменить место работы, еще не сообщили об этом начальству и коллегам, и начавшие действовать в своих интересах в ущерб интересам компании. Самый частый способ получения доступа к информации или возможности ее скопировать, если они этой возможности не имеют, — это имитация производственной необходимости. От предыдущего типа нарушителей нелояльные отличаются в основном тем, что, похитив информацию, они не скрывают факта похищения. Более того, иногда похищенная информация используется как залог для обеспечения комфортного увольнения — с компенсацией и рекомендациями, либо – как способ повысить свою оценку новым работодателем, например, имея на руках клиентскую базу бывшего рекламодателя. Иногда получить контакты всех клиентов компании не так сложно, как кажется на первый взгляд. Конечно, в системах CRM и ERP она надежно защищена, и доступ к ней, особенно в консолидированном виде строго контролируется. Однако раз в год все контакты выгружаются в обычный файл Excel для рассылки новогодних поздравлений и этот файл хранится на локальном компьютере ассистента отдела маркетинга. Обычно это юная особа. Достаточно коробки конфет, чтобы втереться к ней в доверие. Но наибольшую опасность представляют не эти два типа нарушителей. Саботажники и нелояльные сотрудники все же сами определяют информацию для похищения и место ее "сбыта". Коммерческий директор, решивший уволиться, унесет с собой базу данных клиентов, но, возможно, он найдет работу в компании, напрямую не конкурирующей с нынешним работодателем. Переданная прессе саботажником информация может не оказаться сенсацией и не будет напечатана. Стажер, похитивший чертежи перспективной разработки, может не найти на них покупателя. Во всех этих случаях утечка информации не нанесет вреда владельцу. Наткнувшись на невозможность похитить информацию, нарушители вряд ли будут искать технический способ обойти защиту, к тому же, скорее всего, они не обладают должной технической подготовкой для этого. Однако если еще до похищения информации саботажник или нелояльный сотрудник выйдет на потенциального "покупателя" конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым опасным нарушителем — мотивированным извне. Теперь его дальнейшая судьба — работа, благосостояние, а иногда жизнь и здоровье напрямую зависят от полноты и актуальности информации, которую он сможет похитить.

Нарушители, мотивированные извне

Мотивированные извне — это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети "работодатели" могут снабдить их соответствующими устройствами или программами для обхода защиты.

Другие типы нарушителей

В эту классификацию не случайно не включена такая распространенная группа экономических преступников, как инсайдеры — сотрудники, передающие с целью получения выгоды внутреннюю корпоративную информацию, которая может повлиять на стоимость акций. Дело в том, что техническими и организационными мерами пресечь утечку информации, влияющей на стоимость ценных бумаг, практически невозможно. Эта информация обычно очень невелика, часто всего несколько цифр или одно предложение, и может даже не существовать в электронном виде. Например, это прибыль компании за какой-то период, разведанные запасы нефти, информация о предстоящем поглощении компании и т. п. В отличие от прессы, проверяющих органов и т. п., клиентам инсайдеров не нужны подтверждения в электронном виде. С технической точки зрения, пресечь вынос такой информации (например, названия вновь учреждаемой компании и даты запуска) за пределы компании "в оперативной памяти человеческого мозга" невозможно, для предотвращения таких утечек действует законодательно закрепленный запрет на использование инсайдерской информации при торговле ценными бумагами. Поэтому данный тип нарушителей не принимается в предложенной классификации во внимание.