В. Андрианов - Обеспечение информационной безопасности бизнеса

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Окончание табл. 12

Как было отмечено выше, перечисленные выше факторы первого и второго уровня образуют систему причинно-следственных отношений. Возможные отношения между факторами показаны на примере фрагмента сети факторов риска ИБ от персонала, представленном на рис. 64.

Все факторы системы сплетены в огромную причинно-следственную сеть, в которой есть скрытая от наблюдения менеджмента организации часть и наблюдаемая часть. Понятно, что с точки зрения предлагаемой модели повышение защищенности в отношении угроз ИБ от персонала может быть достигнуто путем оценки и контроля со стороны организации факторов риска второго уровня. Предложенную нами систему факторов можно использовать именно таким способом, реализуя следующий план действий:

— определить состав наблюдаемых факторов и внедрить способы их измерения;

— определить состав контролируемых факторов и установить механизмы контроля;

— организовать при помощи созданных механизмов систему контроля рисков ИБ, связанных с персоналом;

— осуществлять при помощи созданной системы контроля последовательные мероприятия по приведению рисков ИБ от персонала в соответствие ожидаемому уровню.

4.2.4. Некоторые модели угроз

Разнообразие угроз ИБ от персонала позволяет построить не менее разнообразные модели. Например, пространство возможной вины участника инцидента показано на рис. 65 в двух измерениях:

— по вертикальной оси — «стремление к последствиям нападения», которое изменяется от нежелательности последствий инцидента с точки зрения инсайдера до сознательного стремления инсайдера нанести наибольший ущерб организации и другим вовлеченным в инцидент лицам;

— «предвидение последствий», которое изменяется от субъективной неспособности (или объективной невозможности) сотрудника предвидеть негативные последствия своих действий до уверенного предвидения неизбежности инцидента и его негативных последствий.

В предложенном пространстве вины могут быть размещены все происходящие в организации инциденты, хотя сделать это может быть и не просто. Собранная на подобном рисунке статистика организации за период времени покажет, в каком направлении работы с персоналом необходимо вести профилактические мероприятия.

Модель возможностей сотрудников [34] как важной составляющей их опасности для организации приведена на рис. 66.

Это модель демонстрирует связь между опасностью сотрудника (с точки зрения его возможностей по реализации атаки) и его ролью в информационной системе организации.

Модель поведения внутреннего злоумышленника применительно к инциденту с утечкой информации «на заказ», представлена на рис. 67.

Часть действий внутреннего злоумышленника (светлые области на рисунке) является ненаблюдаемой для организации, другая часть наблюдаема при осуществлении организацией целенаправленной деятельности по повышению обзора по соответствующим направлениям.

4.2.5. Внешние сообщники внутреннего злоумышленника

Высока вероятность действий внутреннего злоумышленника в сговоре с внешним по отношению к организации лицом (внешним злоумышленником). При этом инсайдер может выступать как организатором нападения, так и используемым внешней силой в своих целях исполнителем или пособником нападения. «Свой человек» в организации почти всегда может оказаться полезен внешним злоумышленникам.

Виды сотрудничества инсайдера с внешней силой разнообразны, он может выступать:

— организатором нападения;

— используемым «вслепую» (например, путем обмана) помощником;

— полностью манипулируемым (например, путем подкупа или шантажа) агентом;

— самостоятельным агентом (реализующим собственную цель помимо внешней злоумышленной);

— поддерживаемым агентом (реализующим только собственную цель, однако пользующимся внешней поддержкой).

Пособническая поддержка, оказываемая внутреннему злоумышленнику внешним сообщником, может включать:

— финансовые ресурсы;

— специализированные технические средства;

— инсценировку событий, облегчающих осуществление различных шагов атаки;

— информационное и аналитическое обеспечение;

— правовую помощь;

— содействие в сокрытии следов;

— содействие в сбыте похищенных информационных активов или легализации приобретенных материальных выгод.

4.2.6. Типология мотивов

Противоправное поведение внутреннего злоумышленника может быть результатом действия сложного сочетания нескольких мотивов из следующего (не исчерпывающего) перечня (см., например, [52]):

— корыстный интерес (приобретение материальной выгоды);

— принуждение со стороны третьих лиц;

— личная заинтересованность, связанная с родственными и иными близкими отношениями или определенными обязательствами перед сторонними лицами;

— месть;

— самоутверждение;

— любопытство;

— игровой мотив (стремление к острым ощущениям, авантюризм);

— искаженное чувство справедливости;

— стремление любой ценой выполнить должностные обязанности;

— карьеризм;

— хулиганские побуждения;

— зависть;

— идеологические соображения;

— вражда;

— стремление субъекта скрыть компрометирующие его факты (нарушения, информацию о себе или близких);

— неудовлетворенность различными аспектами личной жизни или трудовых отношений;

— наркотическая или алкогольная зависимость.

Кроме того, важны различные особенности личности инсайдера, например, следующие (см., например, [33]):

— безразличие субъекта к собственным рискам, возникающим при совершении нарушения;

— уверенность в том, что нарушение не будет выявлено;

— уверенность в том, что возможное наказание не будет адекватным;

— привычка действовать определенным образом;

— самооправдание;

— жестокость;

— трусость;