Реферат по предмету Организация и управление службой безопаснос

Национальный исследовательский ядерный университет «МИФИ»

Вечерний факультет

Кафедра №43 «Кафедра стратегических информационных исследований»

Внутренний нарушитель. Оснащение, тактика действий, мотивация

Реферат по предмету: Организация и управление службой безопасности

Студентки 5 курса

группы В9-43

Клинковой В.В.

Москва, 2011 год

Содержание:

1. Введение

2. Определение внутреннего нарушителя и его категории

3. Группы внутренних нарушителей в зависимости от способа и полномочий доступа к информационным ресурсам

4. Классификация внутренних нарушителей. Мотивы нарушений

5. Предположения о возможностях нарушителя

6. Нетехнические меры защиты от внутренних угроз

6.1 Психологические меры

6.2 Организационные меры

6.3 Работа с кадрами

7.Технологии, используемые при совершении компьютерных преступлений

8. Пример компьютерного преступления

9. Признаки наличия уязвимых мест в информационной безопасности

10. Анализ тактики действий нарушителя

11. Внутренний нарушитель в корпоративной сети

12. Заключение

13. ЛитератураВведение.

Типичный компьютерный преступник — это не молодой хакер, использующий телефон и домашний компьютер для получения доступа к большим компьютерам. Типичный компьютерный преступник — это служащий, которому разрешен доступ к системе, нетехническим пользователем которой он является. В США компьютерные преступления, совершенные служащими, составляют 70-80 процентов ежегодного ущерба, связанного с компьютерами. Остальные 20 процентов дают действия нечестных и недовольных сотрудников. И совершаются они по целому ряду причин. Компьютерным преступников может быть любой.

Почему люди совершают компьютерные преступления:- личная или финансовая выгода — развлечение — месть — попытка добиться расположения кого-либо к себе — самовыражение — случайность — вандализм 

Но значительно больший ущерб, около 60 процентов всех потерь, наносят ошибки людей и инциденты. Предотвращение компьютерных потерь, как из-за умышленных преступлений, так и из-за неумышленных ошибок, требует знаний в области безопасности. Опросы, проводимые периодически в США, показывают, что именно служащие, имевшие знания в области компьютерной безопасности, были основной причиной выявления компьютерных преступлений. 

Определение внутреннего нарушителя и его категории.

Внутренний нарушитель — это лицо или группа лиц, обладающих правом доступа на объект и к материальным ценностям в силу выполнения служебных или иных обязанностей, при этом внутренних нарушителей можно классифицировать тремя категориями:

одиночный нарушитель — это лицо из числа персонала, имеющее определенные служебные или иные обязанности с ограниченным доступом и ограниченными возможностями хищений и порчи МЦ, осуществляемых в мелких масштабах, но систематически с нарастанием массы нарушителей;

неорганизованный групповой нарушитель — это группа лиц при наличии случайного «сговора» с представителем среднего звена руководства предприятия или охраны. Связи между членами группы неустойчивы, случайны, как правило, прекращаются после свершенного одного или нескольких преступлений. Постоянный групповой лидер отсутствует;

организованная преступная группировка — это группа лиц, как правило, включающая руководителей среднего и верхнего звена, получившая открытый доступ к МЦ и имеющая постоянного лидера. Возможны масштабные регулярные хищения крупных партий МЦ с использованием специальных каналов транспортировки, связи и фальсификации учетно-отчетной документации.

Группы внутренних нарушителей в зависимости от способа и полномочий доступа к информационным ресурсам.

Внутренний нарушитель подразделяется на восемь групп в зависимости от способа и полномочий доступа к информационным ресурсам.

1. К первой группе относятся сотрудники предприятий, не являющиеся зарегистрированными пользователями и не допущенные к ИР ИСПДн (информационная система персональных данных), но имеющие санкционированный доступ в КЗ. К этой категории нарушителей относятся сотрудники различных структурных подразделений предприятий:

-энергетики, сантехники, уборщицы, сотрудники охраны и другие лица,

-обеспечивающие нормальное функционирование объекта информатизации.

Лицо данной группы может:

-располагать именами и вести выявление паролей зарегистрированных пользователей ИСПДн;

−-изменять конфигурацию технических средств обработки ПДн (персональные данные), вносить программно-аппаратные закладки в ПТС (программно-технические средства) ИСПДн и обеспечивать съем информации, используя непосредственное подключение к техническим средствам обработки информации.

2. Ко второй группе относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ИР ИСПДн с рабочего места.

К этой категории относятся сотрудники предприятий, имеющие право доступа к локальным ИР ИСПДн для выполнения своих должностных обязанностей.

Лицо данной группы:

− -обладает всеми возможностями лиц первой категории;

− -знает, по меньшей мере, одно легальное имя доступа;

−-обладает всеми необходимыми атрибутами (например, паролем), обеспечивающим доступ к ИР ИСПДн;

− -располагает ПДн, к которым имеет доступ.

3. К третьей группе относятся зарегистрированные пользователи подсистем ИСПДн, осуществляющие удаленный доступ к ПДн по локальной или распределенной сети предприятий.

Лицо данной группы:

−- обладает всеми возможностями лиц второй категории;

−- располагает информацией о топологии сети ИСПДн и составе технических средств ИСПДн;

−- имеет возможность прямого (физического) доступа к отдельным техническим средствам ИСПДн.

4. К четвертой группе относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн.

Лицо данной группы:

−- обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте ИСПДн

−- обладает полной информацией о технических средствах и конфигурации сегмента ИСПДн;

−- имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте ИСПДн;

−- имеет доступ ко всем техническим средствам сегмента ИСПДн;

−- обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента ИСПДн.

5. К пятой группе относятся зарегистрированные пользователи с полномочиями системного администратора ИСПДн, выполняющего конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства мониторинга, регистрации, архивации, защиты от несанкционированного доступа.

Лицо данной группы:

−- обладает полной информацией о системном, специальном и прикладном ПО, используемом в ИСПДн;

−- обладает полной информацией о ТС и конфигурации ИСПДн;

— имеет доступ ко всем ТС ИСПДн и данным;

−- обладает правами конфигурирования и административной настройки ТС ИСПДн.

6. К шестой группе относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн, отвечающего за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей, криптографическую защиту информации (СКЗИ).

Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.

Лицо данной группы:

−- обладает полной информацией об ИСПДн;

−- имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;

−- не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

7. К седьмой группе относятся лица из числа программистов-разработчиков сторонней организации, являющихся поставщиками ПО и лица, обеспечивающие его сопровождение на объекте размещения ИСПДн.

Лицо данной группы:

−- обладает информацией об алгоритмах и программах обработки информации в ИСПДн;

−- обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в ПО ИСПДн на стадии его разработки, внедрения и сопровождения;

−- может располагать любыми фрагментами информации о ТС обработки и защиты информации в ИСПДн.

8. К восьмой группе относятся персонал, обслуживающий ТС ИСПДн, а также лица, обеспечивающие поставку, сопровождение и ремонт ТС ИСПДн.

Лицо данной группы:

−- обладает возможностями внесения закладок в ТС ИСПДн на стадии их разработки, внедрения и сопровождения;

−- может располагать фрагментами информации о топологии ИСПДн, автоматизированных рабочих местах, серверах и коммуникационном оборудовании, а также о ТС защиты информации в ИСПДн.

Классификация внутренних нарушителей. Мотивы нарушений.

Пользователи, которые допускают утечку конфиденциальной информации, будучи к ней официально допущенными, могут быть классифицированы по нескольким критериям:

• Злонамеренные;

• Халатные;

• Действующие по заказу;

• Ставящие себе цели сами;

• Охотники за конкретной информацией;

• Ворующие все, что смогут.

Внутренних нарушителей можно разделить на следующие категории:

• Неосторожные;

• Манипулируемые;

• Саботажники;

• Нелояльные;

• Мотивируемые извне.

Мотивы внутренних нарушителей:

ТипУмыселКорыстьПостановка задачиДействия при невозможностиХалатныйНетНетНетСообщениеМанипулируемыйНетНетНетСообщениеОбиженныйДаНетСамОтказНелояльныйДаНетСамИмитацияПодрабатывающийДаДаСам\ИзвнеОтказ\Имитация\ВзломВнедренныйДаДаСам\ИзвнеВзломНарушители по типу могут быть подразделены на незлонамеренных и злонамеренных.

В свою очередь незлонамеренные нарушители подразделяются на:

• Манипулируемых;

• Неосторожных.

Неосторожные (халатные) — данные пользователи нарушают правила исходя из лучших побуждений. Чаще всего они выносят информацию для работы с ней дома, в командировке и т.д. Ущерб от таких утечек может быть не меньшим, чем от промышленных шпионов. Против таких нарушителей эффективны простые технические средства – фильтрация контента исходящего трафика и менеджеры устройств ввода-вывода.

Манипулируемые — все чаще для манипулирования сотрудниками используется «социальная инженерия». Например, добросовестный сотрудник по просьбе злоумышленника может «для надежности» продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик.

Другим способом манипуляции может служить сотрудник, начальник которого – злоумышленник, отдавший этому сотруднику преступный приказ.

Отдельной группой являются злонамеренные сотрудники, осознающие, что они наносят вред компании, в которой работают. По мотивам злонамеренных действий их можно разделить на:

• Саботажники;

• Нелояльные;

• Мотивируемые извне;

• Другие.

Саботажники чаще всего стремятся нанести вред компании из-за личных мотивов. Чаще всего таким мотивом является недооценка их роли в компании. Ключевым в поведении таких нарушителей является то, что, во-первых, такие сотрудники не собираются покидать компанию, а во-вторых, целью саботажника является нанести вред, а не похитить информацию. То есть такие люди стремятся к тому, чтобы руководство не узнало, что утечка произошла по их вине и, столкнувшись с технической невозможностью нанести вред, они направят свои усилия на уничтожение или фальсификацию иной информации.

Чаще всего нелояльные сотрудники стараются унести максимально возможное количество информации, зачастую даже не подозревая о ее истинной ценности.

Сюда же можно отнести и тех сотрудников, которые, решив сменить место работы, еще не сообщили об этом начальству. Чаще всего нелояльные сотрудники не скрывают факта хищения.

Однако максимальную опасность представляют не эти два типа нарушителей, а мотивированные извне. Ведь если потенциальный злоумышленник может заранее найти покупателя на информацию и тогда его дальнейшая работа, благосостояние, а иногда жизнь и здоровье напрямую зависят от полноты и актуальности похищенной информации.

Нарушители, мотивированные извне – это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети «работодатели» могут снабдить их соответствующими устройствами или программами для обхода защиты.

Предположения о возможностях нарушителя.

Для получения исходных данных о ИСПДн нарушитель может осуществлять перехват зашифрованной информации и иных данных, передаваемых по каналам связи сетям общего пользования и (или) сетям международного информационного обмена, а также по локальным сетям ИСПДн.

В дополнении к приведенным возможностям, которыми обладают различные группы внутренних нарушителей, может быть приведен ряд дополнительных возможностей, которые присущи всем группам внутреннего нарушителя.

Любой внутренний нарушитель может иметь физический доступ к линиям связи, системам электропитания и заземления.

Предполагается, что возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны объектов размещения ИСПДн ограничительных факторов, из которых основными являются режимные мероприятия и организационно-технические меры, направленные на:

−- предотвращение и пресечение несанкционированных действий;

−- подбор и расстановку кадров;

−- допуск физических лиц в контролируемую зону и к средства вычислительной техники;

−- контроль за порядком проведения работ.

В силу этого внутренний нарушитель не имеет возможности получения специальных знаний о ИСПДн в объеме, необходимом для решения вопросов создания и преодоления средств защиты ПДн, и исключается его возможность по созданию и применению специальных программно-технических средств реализации целенаправленных воздействий данного нарушителя на подлежащие защите объекты и он может осуществлять попытки несанкционированного доступа к ИР с использованием только штатных программно-технических средств ИСПДн без нарушения их целостности.

Возможность сговора внутренних нарушителей между собой, сговора внутреннего нарушителя с персоналом организаций-разработчиков подсистем ИСПДн, а также сговора внутреннего и внешнего нарушителей должна быть исключена применением организационно-технических и кадрово-режимных мер, действующих на объектах размещения ИСПДн.

Внутренний нарушитель для доступа к защищаемой информации, содержащей ПДн, может использовать только штатные средства ИСПДн. При этом его возможности по использованию штатных средств зависят от реализованных в ИСПДн организационно-технических и режимных мер.

Возможными каналами атак, которые может использовать нарушитель для доступа к защищаемой информации в ИСПДн, являются:

−- каналы непосредственного доступа к объекту (визуально-оптический, акустический, физический);

−- электронные носители информации, в том числе съемные, сданные в ремонт и вышедшие из употребления;

−- бумажные носители информации;

−- штатные программно-аппаратные средства ИСПДн;

−- кабельные системы и коммутационное оборудование, расположенные в пределах контролируемой зоны и не защищенные от НСД к информации организационно-техническими мерами;

−- незащищенные каналы связи

Нетехнические меры защиты от внутренних угроз

Психологические меры.

Если основная цель внедрения – выявить действующий канал утечки, то необходимо в первую очередь внедрять средства контентной фильтрации почты и мониторинга пользователей.

Если же система защиты от внутренних пользователей внедряется открыто, то ознакомление сотрудников с новыми регламентами, ознакомление с попытками выноса запрещенной информации за пределы компании поможет предотвратить хищение информации незлонамеренными сотрудниками.

Организационные меры.

Не стоит думать, что самые совершенные программно-аппаратные решения могут решить все проблемы утечки информации. Время от времени будут предприниматься попытки обойти такое программное обеспечение, следовательно, необходимо максимально усложнить проведение взлома. В первую очередь – лишить пользователей прав локальных администраторов на своих рабочих местах. Однако эта простая мера до сих пор не решена в большинстве компаний. Выходом может служить локализация рабочих мест, на которых нельзя забрать права локальных администраторов и размещение их в отдельной подсети.

Однако необходимо понимать, что это временное решение и постепенно нужно отбирать права локальных администраторов у сотрудников.

Редко в какой компании существует список программного обеспечения, допущенного к установке на рабочие станции. Причем очень часто составляющие его специалисты не задумываются о том, что некоторое ПО из этого списка может быть использовано для противоправных действий.

После составления такого списка необходимо устанавливать (изменять) программное обеспечение на рабочих станциях (серверах) только в соответствии с утвержденными правилами.

Ввод в эксплуатацию новых рабочих мест и все изменения в конфигурации технических и программных средств существующих рабочих мест должны осуществляться только установленным порядком согласно «Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств PC».

Эта инструкция призвана регламентировать функции и взаимодействия подразделений по обеспечению безопасности при проведении модификаций и обслуживании программного обеспечения и технических средств, и должна содержать следующие положения.

Все изменения конфигурации технических и программных средств защищенных рабочих станций (PC) и серверов (различных уровней защищенности в соответствии с «Положением о категорировании ресурсов АС») должны производиться только на основании заявок начальников структурных подразделений организации либо заявок начальника IT, согласованных с руководителем службы защиты информации.

Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС должно быть предоставлено уполномоченным сотрудникам (могут быть отданы соответствующими приказами) определенных подразделений:

• в отношении системных и прикладных программных средств, а также в отношении аппаратных средств – уполномоченным сотрудникам отдела IT;

• в отношении программно-аппаратных средств защиты – уполномоченным сотрудникам службы защиты информации;

• в отношении программно-аппаратных средств телекоммуникации – уполномоченным сотрудникам службы (отдела) связи (телекоммуникации).

Изменение конфигурации аппаратно-программных средств защищенных рабочих станций и серверов кем-либо, кроме уполномоченных сотрудников перечисленных подразделений, должно быть запрещено.

Право внесения изменений в конфигурацию аппаратно-программных средств PC AC организации, не требующих защиты, может быть предоставлено как сотрудникам отдела IT (на основании заявок), так и сотрудникам подразделений, в которых они установлены, на основании распоряжений начальников данных подразделений.

После составления списка программного обеспечения необходимо гарантировать его установку на все рабочие станции и ограничить запуск других программ без участия администратора. Принцип «все, что не разрешено – запрещено» в этом случае должен выполняться неукоснительно. Это избавит компанию от будущих проблем с утечками через злонамеренных нарушителей.

К специфическим решениям можно отнести решения, принимаемые в каждом конкретном случае. Ведь предусмотреть все возможные утечки, а тем более способы защиты – невозможно.

Работа с кадрами.

Необходимо постоянно работать с пользователями. Обучение пользователей, воспитание бдительности сотрудников, инструктаж новичков и временных сотрудников во многом сможет предотвратить утечки через незлонамеренных пользователей. Любое копирование информации на сменный носитель должно вызывать вопросы коллег – ведь лояльные сотрудники пострадают вместе с компанией.

Стоит понимать, что высокая компьютерная квалификация пользователей не всегда является плюсом. В западной литературе встречается термин overqualified – приблизительно его можно перевести как «слишком квалифицированный» или «переквалифицированный». Излишняя квалификация в компьютерных навыках является более серьезным недостатком, чем квалификация недостаточная. Ведь научить недостающим навыкам можно всегда, а как заставить человека забыть уже имеющиеся навыки?

Выявление «специалистов-любителей» возможно во время традиционной аттестации.

Технологии, используемые при совершении компьютерных преступлений. Технологии, используемые при совершении компьютерных преступлений:

1. Мошенничества 

— Ввод неавторизованной информации 

— Манипуляции разрешенной для ввода информацией 

— Манипуляции или неправильное использование файлов с информацией 

— Создание неавторизованных файлов с информацией 

— Обход внутренних мер защиты 

2. Злоупотребления 

— Кража компьютерного времени, программ, информации и оборудования 

— Ввод неавторизованной информации 

— Создание неавторизованных файлов с информацией 

— Разработка компьютерных программ для неслужебного использования 

— Манипулирование или неправильное использование возможностей по роведению работ на компьютерах 

Основные методы, использовавшиеся для их совершения, включают:

— Надувательство с данными. Наверное, самый распространенный метод при совершении компьютерных преступлений, так как он не требует технических знаний и относительно безопасен. Информация меняется в процессе ее ввода в компьютер или во время вывода. Например, при вводе документы могут быть заменены фальшивыми, вместо рабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы. Сканирование. Другой распространенный метод получения информации, который может привести к преступлению. Служащие, читающие файлы других, могут обнаружить там персональную информацию о своих коллегах. Информация, позволяющая получить доступ к компьютерным файлам или изменить их, может быть найдена после просмотра мусорных корзин. Дискеты, оставленные на столе, могут быть прочитаны, скопированы, и украдены. Очень хитрый сканирующий может даже просматривать остаточную информацию, оставшуюся на компьютере или на носителе информации после выполнения сотрудником задания и удаления своих файлов.

— Троянский конь. Этот метод предполагает, что пользователь не заметил, что компьютерная программа была изменена таким образом, что включает в себя дополнительные функции. Программа, выполняющая полезные функции, пишется таким образом, что содержит дополнительные скрытые функции, которые будут использовать особенности механизмов защиты системы (возможности пользователя, запустившего программу, по доступу к файлам). 

— Люк. Этот метод основан на использовании скрытого программного или аппаратного механизма, позволяющего обойти методы защиты в системе. Этот механизм активируется некоторым неочевидным образом. Иногда программа пишется таким образом, что специфическое событие, например, число транзакций, обработанных в определенный день, вызовет запуск неавторизованного механизма. 

— Технология салями. Названа так из-за того, что преступление совершается понемногу, небольшими частями, настолько маленькими, что они незаметны. Обычно эта технология сопровождается изменением компьютерной программы. Например, платежи могут округляться до нескольких центов, и разница между реальной и округленной суммой поступать на специально открытый счет злоумышленника. 

— Суперотключение. Названа по имени программы, использовавшейся в ряде компьютерных центров, обходившей системные меры защиты и использовавшейся при аварийных ситуациях. Владение этим «мастер-ключом» дает возможность в любое время получить доступ к компьютеру и информации, находящейся в нем. 

Пример компьютерного преступления.

Оператор по приему платежей узнав о смерти вкладчика, открыл счет в банке, используя имя клиента и другие его данные. Вкладчик не был удален из списка клиентов, на счета которых начислялись проценты, а с помощью компьютерной системы был заменен его адрес и запрошен прямой перевод процентов на счет, открытый оператором.

 Большой ущерб был нанесен при доставке заказа на оборудование от федерального правительства. Были приготовлены фиктивные реквизиты для счета, направленного на большой центр. Эти реквизиты приводили к отправке оборудования реальной частной фирме, выполняющей государственные заказы. Перед самой доставкой один из злоумышленников позвонил в эту фирму и предупредил об их «ошибке», а потом доставил оборудование самим злоумышленникам. Три оператора, используя удаленный терминал, ввели фиктивный запрос в компьютер на получение 150 тысяч долларов по процентам и затем удалили записи об этих транзакциях. 

Особо стоит остановиться на необычном для России виде компьютерных преступлений — краже информации. Обычно либо продается персональная информация, информация об условиях контракта, и конфиденциальная информация компании( например, технология создания продукта) посторонним лицам, либо копируются и используются программы для личной выгоды. Признаки наличия уязвимых мест в информационной безопасности.

Следующие признаки могут свидетельствовать о наличии уязвимых мест в информационной безопасности:

— Не разработано положений о защите информации или они не соблюдаются. Не назначен ответственный за информационную безопасность. 

— Пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими, или они появляются на компьютерном экране при их вводе. 



Страницы: 1 | 2 | Весь текст