Исследование проблемы внутреннего нарушителя Текст научной статьи по специальности «Компьютерные и информационные науки»

А.С. Зайцев, А.А. Малюк

ИССЛЕДОВАНИЕ ПРОБЛЕМЫ ВНУТРЕННЕГО НАРУШИТЕЛЯ

В статье подробно рассматривается проблема внутреннего нарушителя. Производится комплексный анализ проблемы, рассматриваются существующие модели инсайдера. На основе произведенного анализа строится имитационная системно-динамическая модель внутреннего нарушителя, позволяющая дать финансовые оценки. Далее производится попытка формализации модели с использованием экспертного опроса. Рассматриваются варианты дальнейшего развития модели для минимизации участия эксперта в оценке.

Ключевые слова: инсайдер, системная динамика, имитационное моделирование, экспертная система.

Проблема внутреннего нарушителя (инсайдера) является одним из наиболее актуальных вопросов современной информационной безопасности (ИБ). Судить о ситуации с инсайдерами, однако, возможно лишь по немногочисленным аналитическим отчетам. Наиболее актуальным и полным из них, на наш взгляд, является аналитическое исследование компании Perimetrix «Инсайдерские угрозы в России 2009»1, составленное согласно анонимному опросу представителей российских компаний. На рис. 1 приведены самые популярные внутренние угрозы (по мнению респондентов Perimetrix).

Согласно другому аналитическому исследованию, выполненному компанией InfoWatch («Глобальное исследование утечек. Первое полугодие 2010»2), самой критической категорией информации стали персональные данные (97,9% утечек).

© Зайцев А.С., Малюк А.А., 2012

Исследование проблемы внутреннего нарушителя

Другая сбой в работе ИС Утрата информации Саботаж Кража оборудования Искажение документации Утечка данных

■ 6 10

11

13

10

15

%

20

25

30

Рис. 1. Самые популярные внутренние угрозы информационной безопасности

В некоторых странах, например в США, предприятия обязаны передавать в соответствующие органы информацию о произошедших инцидентах в области нарушения компьютерной безопасности. Но значит ли это, что компания передаст соответствующую действительности картину внутренних нарушений? Согласно аналитическому исследованию, проведенному Carnegie Mellon University («2011 CyberSecurityWatch Survey»3), 76% опрошенных компаний не разглашают сведений о произошедших внутренних инцидентах ИБ (рис. 2).

□ Внутренние (без юридического разбирательства) - 77%

■ Внутренние (с юридическим разбирательством) - 12%о

□ Внешние (с уведомлением органов) - 8°%

□ Внешние (с заведением уголовного дела) - 3%

Рис. 2. Меры, применяемые по отношению к инсайдеру согласно статистике Carnegie Mellon University

А.С. Зайцев, А.А. Малюк

□ Внешний

■ Внутренний

□ Не определен

Рис. 3. Убытки от различных типов инцидентов по отношению к общим потерям ИБ согласно статистике Carnegie Mellon University

Причем по состоянию на первый квартал 2011 г., инциденты с инсайдерами составляют 21% относительно всего числа инцидентов ИБ (инциденты с аутсайдерами - 58%, в 21% случаев источник не определен).

Согласно этому же отчету, инциденты, связанные с внутренними нарушителями, приносят компаниям большие убытки, чем аут-сайдерские инциденты ИБ (рис. 3).

На сегодняшний день существует ряд объективных причин, препятствующих эффективному решению проблемы внутреннего нарушителя. Среди них наибольшее значение имеют:

- отсутствие достаточной статистики внутренних инцидентов;

- отсутствие методологии управления внутренними инцидентами (формализованные модели нарушителей, системы оценки рисков, методы управления рисками и инцидентами);

- сильнейшее влияние человеческого фактора (действия нарушителя сложно моделировать и прогнозировать);

- репутационные риски, сложно поддающиеся оценке и формализации;

- непонимание важности проблемы руководством компаний.

Ключевым моментом в решении практически всех этих проблем является построение модели внутреннего нарушителя.

На данный момент известны несколько моделей внутреннего нарушителя4. Все они фактически представляют собой неформальные классификации по одному или нескольким критериям. Рассмотрим некоторые из них.

Исследование проблемы внутреннего нарушителя

Таблица 1

Классификация инсайдеров в зависимости от мотивации

Немотивированный (нарушитель который сознательно не хотел причинить ущерб компании)

Мотивированный (в данном случае имеется пара «внутренний-внешний зло-у мышленники». Внутренний нарушитель вследствие каких-либо причин действует так, как ему говорит находящийся вне компании человек)

Халатный:

Манипули-руемый

Обижен-

Мотивированный

Как правило, это инцидент случайного нарушения прав доступа, случайного удаления информации. Наиболее часто встречается вынос информации за пределы компании для работы дома

Как следствие распространения методов социальной инженерии, манипулируемый инсайдер встречается довольно часто. Сотрудник может отправить конфиденциальную информацию злоумышленнику исходя из лучших побуждений и даже не понимая, что его действия могут нанести вред

Такой сотрудник стремится нанести вред компании по личным мотивам. Особенность такого нарушителя заключается в том, что он стремится передать (уничтожить) информацию, опираясь на собственные представления о ценности данной информации

Подрабатывающий Такой нарушитель работает на внешнего злоумышленника вследствие каких-то причин (деньги, шантаж, угрозы), но не хочет в дальнейшем покидать компанию

Специально Такой нарушитель может об-

внедренный ладать техническими сред-

ствами. При этом он будет всеми силами стараться совершить необходимое ему действие, чего бы это ни стоило

Таблица 1 представляет модель, наиболее полно отражающую возможные мотивации поступков внутренних нарушителей.

В зависимости от уровня полномочий сотрудника внутренние нарушители могут быть разделены на четыре группы, показанные в табл. 2.

А.С. Зайцев, А.А. Малюк

Таблица 2

Классификация инсайдеров в зависимости от их полномочий

Уровень Полномочия

1 Самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации

2 Возможность создания и запуска собственных программ с новыми функциями по обработке информации

3 Возможность управления функционированием АС, т. е. воздействия на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования

4 Весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации

Таблица 3

Классификация инсайдеров в зависимости от их должности

Уровень риска Пользователь

Наибольший риск Сетевой администратор Администратор безопасности

Повышенный риск Оператор системы Оператор ввода и подготовки данных Менеджер обработки Системный программист

Средний риск Инженер системы Менеджер программного обеспечения

Ограниченный риск Прикладной программист Инженер или оператор по связи Администратор баз данных Инженер по оборудованию Оператор периферийного оборудования Библиотекарь системных магнитных носителей Пользователь-программист Пользователь-операционист

Низкий риск Инженер по периферийному оборудованию Библиотекарь магнитных носителей пользователей Пользователь сети

Исследование проблемы внутреннего нарушителя

Известно еще множество вариаций такого подхода к классификации, но ничего существенного они не добавляют. К примеру, классификация по полномочиям участников корпоративной сети приведена в табл. 3.

Таким образом, изначальным критерием классификации внутреннего нарушителя является его мотивация. Опираясь на мотивацию нарушителя, попытаемся сформулировать подходы к формализации его модели. Чтобы модель не получилась слишком громоздкой, распределим нарушителей по следующим группам: немотивированные, обиженные, нелояльные, специально внедренные.

Будем считать, что немотивированные включают в себя халатных и манипулируемых, а специально внедренные объединяют тех, кто собирается уволиться после совершения нарушения, и тех, кто желает продолжить работу в организации. На количество внутренних нарушителей каждого типа влияют различные факторы (табл. 4).

Таблица 4

Факторы, влияющие на инсайдеров различных типов

Тип инсайдера Влияющие факторы

1 2

Немотивированный Осведомленность сотрудников о системе обеспечения ИБ

нарушитель (о хранении паролей и др.)

Наличие системы защиты данных на рабочих станциях

(шифрование и др.)

Установлена ли ответственность за нарушение ИБ

Установлена ли ответственность за работу вне офиса

Ведется ли резервное копирование данных

Производится ли классификация данных и установление

различных уровней доступа к ней

Установлена ли контентная фильтрация трафика

Насколько эффективно ведется подготовка новых

специалистов

Ведется ли контроль съемных устройств

Обиженный Понимает ли он ответственность на нарушение ИБ

нарушитель Реально ли оценивает нарушитель важность информации

Степень и причины обиды:

недостаточная оценка деятельности

низкая зарплата

низкая должность

личная обида

другие причины

А.С. Зайцев, А.А. Малюк

1 2

Моральное состояние коллектива

Поведение человека до нарушения

Наличие уголовной ответственности (эффективность

работы кадровой службы)

Установлена ли контентная фильтрация трафика

Ведется ли контроль съемных устройств

Нелояльный Понимает ли нарушитель ответственность за нарушение ИБ

нарушитель Подписаны ли документы о неразглашении конфиден-

циальной информации

Имеет ли нарушитель доступ к актуальной информации

(работа кадровой службы)

Наличие системы защиты данных на рабочих станциях

(шифрование и др.)

Установлена ли ответственность за нарушение ИБ

Ведется ли резервное копирование данных

Производится ли классификация данных и установление

различных уровней доступа к ним

Установлена ли контентная фильтрация трафика

Ведется ли контроль съемных устройств

Специально Установлена ли в документах ответственность

внедренный за нарушение ИБ

нарушитель Наличие системы защиты данных на рабочих станциях

(шифрование и др.)

Установлена ли контентная фильтрация трафика

Ведется ли контроль съемных устройств

Установлена ли система регистрации действий сотрудни-

ков (с другой стороны, такая система может ухудшать

атмосферу в коллективе)

Материальное и психологическое состояние нарушителя

Атмосфера в коллективе

Степень мотивированности нарушителя на получение

информации

Работа мониторинга психологического состояния

сотрудников

Наличие предыстории сотрудника (работа кадровой

службы)

Все типы внутренних Текучесть кадров на предприятии

нарушителей Подготовка новых кадров (испытательный срок, наличие

опытного куратора, семинары и психологическое

тестирование)

Исследование проблемы внутреннего нарушителя

Стоит отметить, что одним из ключевых моментов противодействия инсайдерам является эффективность работы кадровой службы.

Разделим все факторы, влияющие на нарушителей, на две группы: априорные факторы, влияющие на предотвращение появления самого инцидента нарушения, и апостериорные факторы, позволяющие провести разбор произошедшего инцидента нарушения.

Одним из основополагающих априорных факторов несомненно является работа кадровой службы. Рассмотрим в связи с этим более подробно процесс набора и увольнения персонала. Основным здесь является текучесть кадров, т. е. движение рабочей силы, обусловленное неудовлетворенностью работника рабочим местом или неудовлетворенностью организации конкретным работни-ком5. Численно текучесть может быть определена как отношение числа уволившихся работников в год к общему числу работников. Текучесть бывает естественной (3-5% в год) и излишней. Излишняя текучесть плохо влияет на атмосферу в коллективе. В свою очередь, плохая атмосфера в коллективе вызывает излишнюю текучесть.

На текучесть и, следовательно, на атмосферу в коллективе влияют, на наш взгляд, три основных фактора: уровень зарплат, различные поощрения, наличие социального пакета и прочие условия труда; качество работы кадровой службы; различные меры и мероприятия, направленные на сплочение коллектива, например корпоративные мероприятия.

Отмеченные в описании типов нарушителей факторы сгруппируем в пять основных групп: обучение сотрудников методам обеспечения информационной безопасности; уведомление сотрудников об ответственности за нарушение информационной безопасности (данный фактор можно использовать более эффективно, если в документах действительно зафиксирована конкретная ответственность); организационные меры защиты (к ним отнесем классификацию данных, разграничение доступа и работу службы охраны); атмосфера в коллективе; технические меры защиты (шифрование на рабочих станциях, резервное копирование информации, контентную фильтрацию исходящего трафика, системы контроля съемных устройств).

Апостериорные факторы заключаются в разборе произошедшего инцидента и применении или неприменении установленных санкций. Причем инцидент может быть разобран только в случае,

А.С. Зайцев, А.А. Малюк

Рис. 4. Системно-динамическая модель внутреннего нарушителя

если ведется регистрация действий пользователей (для сбора доказательной базы) и все документы имеют юридическую силу с установлением ответственности за нарушение информационной безопасности.

Модель должна предусматривать применение мер к виновнику происшествия. В результате это усилит значимость дальнейших уведомлений об ответственности за нарушение информационной безопасности, но в то же время может негативно сказаться на атмосфере в коллективе.

Эффективность моделируемой системы обеспечения безопасности может определяться минимизацией суммы средств, потраченных на предотвращение инцидентов, и потерь, связанных с произошедшими нарушениями.

В качестве методологической основы моделирования представляется целесообразным использовать системную динамику Форрестера, которая позволяет строить формальные модели сложных систем6. Установив связи между описанными выше факторами, получим при помощи пакета имитационного моделирования 1ТЫик системно-динамическую диаграмму, представленную на рис. 4.

Исследование проблемы внутреннего нарушителя

Рис. 5. Объединение моделей различных групп пользователей

Данная модель не учитывает, однако, реально существующего различия уровней пользователей в зависимости от полномочий и, соответственно, различной ценности информации, к которой они имеют доступ. Поэтому (подобно принципу достаточной глубины контроля доступа в защите от НСД) для некоторой информации и пользователей просто нецелесообразно применять высокие меры защиты, а для более высоких уровней необходимо применение усиленной защиты.

Этот недостаток можно компенсировать, используя модель, предложенную в руководящем документе Гостехкомиссии7. Для этого введем четыре категории пользователей и информации, к которой они имеют доступ, и применим модель отдельно к каждой из этих категорий. Финансовые расходы будем получать в виде суммы расходов каждой категории. Данные действия иллюстрируются на рис. 5.

Для удобства дальнейшего использования и реализации углубленного анализа все элементы модели были разбиты по группам, все существенные элементы были описаны и им даны условные обозначения (табл. 5).

Большинство из приведенных выше элементов трудно формализуемо. Для получения их значений целесообразно использовать метод анализа иерархий Т. Саати8. Данный метод позволяет получить формальные оценки, используя экспертный опрос.

С его помощью можно установить значения следующих элементов: коэффициент немотивированных инсайдеров; коэффи-

А.С. Зайцев, А.А. Малюк

Таблица 5

Классификация элементов системы

Название Описание Обозначение

1 2 3

Качественные коэффициенты - качественно определяют риски проявления

нарушителей того или иного типа.

Коэффициент 0 - 10.0 - нарушителей такого типа КЧ_НЕМО

немотивированных нет вообще

инсайдеров 10 - число нарушителей такого типа

максимально

Коэффициент 0 - 10.0 - нарушителей такого типа КЧ_ОБИЖ

обиженных нет вообще

инсайдеров 10 - число нарушителей такого типа

максимально

Коэффициент 0 - 10.0 - нарушителей такого типа КЧ_НЕЛО

нелояльных нет вообще

инсайдеров 10 - число нарушителей такого типа

максимально

Коэффициент 0 - 10.0 - нарушителей такого типа КЧ_СПЕЦ

специально нет вообще

внедренных 10 - число нарушителей такого типа

инсайдеров максимально

Количественные коэффициенты - количественно определяют риски проявления

нарушителей того или иного типа

Относительное Отношение числа проявившихся немотиви- КЛ_НЕМО

число немотивиро- рованных инсайдеров в год к общему числу

ванных инсайдеров сотрудников предприятия

Относительное Отношение числа проявившихся обижен- КЛ_ОБИЖ

число обиженных ных инсайдеров в год к общему числу

инсайдеров сотрудников предприятия

Относительное Отношение числа проявившихся нелояль- КЛ_НЕЛО

число нелояльных ных инсайдеров в год к общему числу

инсайдеров сотрудников предприятия

Относительное Отношение числа проявившихся специально КЛ_СПЕЦ

число специально внедренных инсайдеров в год к общему

внедренных числу сотрудников предприятия

инсайдеров

Исследование проблемы внутреннего нарушителя

1 2 3

Управляющие элементы 1-го уровня - элементы, которые можно менять непосредственно для управления коэффициенстами, характеризующими нарушителей

Обучение сотрудников ИБ Целое число от 0 до 10. Характеризует эффективность обучения сотрудников предприятия основам информационной безопасности. Имеет финансовый эквивалент У1_ОБУЧ

Организационные меры защиты Целое число от 0 до 10. Характеризует эффективность организационных мер защиты, реализуемых на предприятии. Имеет финансовый эквивалент У1_ОРГМ

Технические меры защиты Целое число от 0 до 10. Характеризует эффективность технических мер защиты, реализуемых на предприятии. Имеет финансовый эквивалент У1_ТЕХМ

Управляющие элементы 2-го уровня - элементы, которые можно менять непосредственно, но они влияют на коэффициенты, характеризующие нарушителей, косвенно, путем изменения некоторых других элементов системы

Уровень зарплат, поощрений, условия труда и социальный пакет

Качество работы службы кадров

Мероприятия для

укрепления

коллектива

Установленная в документах ответственность за нарушение ИБ

Регистрация действий пользователей

Условия труда. Элемент, который важен для характеристики атмосферы в коллективе и показателя текучести кадров. Целое число от 0 до 10. Характеризует условия труда на предприятии.

Элемент, важный для изменения характеристики в коллективе и показателя текучести кадров. Целое число от 0 до 10

Элемент, важный для характеристики атмосферы в коллективе и показателя текучести кадров. Целое число от 0 до 10

Юридические меры. Элемент, являющийся апостериорной мерой для обеспечения ИБ. Целое число от 0 до 10. Влияетна УО_УВЕД и ПСО_АТМК

Апостериорная мера для обеспечения ИБ. Целое число от 0 до 10. Влияет на УО_УВЕД и ПСО АТМК

У2 УСЛТ

У2_СКАД

У2 УКРК

У2 ЮРИМ

У2_РЕГД

А.С. Зайцев, А.А. Малюк

1 2 3

Управляющий элемент особый - данный элемент, с одной стороны, можно изменять, он влияет на коэффициенты, характеризующие нарушителей, но, с другой стороны, на него самого влияют другие элементы системы

Уведомление об ответственности за нарушение ИБ Особый элемент. Зависит от У2 ЮРИМ и У2_РЕГД УО_УВЕД

Прочие сложно определяемые элементы

Атмосфера в коллективе Текучесть кадров Фактор, сильно влияющий на коэффициенты, характеризующие нарушителей. На него невозможно влиять напрямую, возможно только косвенно, с использованием других элементов. Некоторые элементы в схеме введены только для воздействия на данный элемент системы Элемент, похожий на ПСО АТМК ПСО_АТМК ПСО_ТЕКК

Прочие статистические элементы

Ущерб от одного инцидента с немотивированным инсайдером Ущерб от одного инцидента с обиженным инсайдером Ущерб от одного инцидента с нелояль ным инсайдером Ущерб от одного инцидента со специально внедренным инсайдером Статистическое значение Статистическое значение Статистическое значение Статистическое значение ПСТ_НЕМО ПСТ_ОБИЖ ПСТ_НЕЛО ПСТ_СПЕЦ

Прочие легко определяемые элементы

Набор персонала Излишняя текучесть кадров Необходимое число сотрудников предприятия - число сотрудников предприятия ПСО ТЕКК - нормальное значение текучести кадров (2% в год) ПЛО_НАБП ПЛО_ИЗТК

Исследование проблемы внутреннего нарушителя

1 2 3

Ущерб с немотиви- Ущерб ИБ, связанный с инцидентами ПЛО НЕМО

рованными по вине немотивированных инсайдеров

инсайдерами

Ущерб с обижен- Ущерб ИБ, связанный с инцидентами ПЛО_ ОБИЖ

ными инсайдерами по вине обиженных инсайдеров

Ущерб с нелояль- Ущерб ИБ, связанный с инцидентами ПЛО_ НЕЛО

ными инсайдерами по вине нелояльных инсайдеров

Ущерб со специально Ущерб ИБ, связанный с инцидентами ПЛО_ СПЕЦ

внедренными по вине специально внедренных инсайдеров

инсайдерами

Финансовые Сумма затрат на все меры по обеспечению ИБ ПЛО_ ФИНР

расходы

Персонал ПЛО_ПЕРС = ПЛО_ПЕРС + вливание ПЛО_ ПЕРС

предприятия в коллектив - ПСО ТЕКК

циент обиженных инсайдеров; коэффициент нелояльных инсайдеров; коэффициент специально внедренных инсайдеров; атмосфера в коллективе; текучесть кадров; уведомление об ответственности за нарушение ИБ (с некоторыми оговорками, см. далее).

Рассмотрим для примера формирование коэффициента немотивированных инсайдеров КЧ_НЕМО. В качестве факторов, влияющих на данный коэффициент, будем рассматривать: обучение ИБ (У_ОБУЧ); уведомление об ответственности (У_УВЕД); организационные меры защиты (У_ОРГМ); атмосфера в коллективе (П_АТМК); технические меры защиты (У_ТЕХМ).

Произведем сравнение выбранных факторов с использованием метода парных сравнений. Оформим результаты экспертизы в виде таблицы (табл. 6), используя шкалу относительного превосходства следующего вида: 1 - равноценность; 3 - умеренное превосходство; 5 - сильное превосходство; 7 - очень сильное превосходство; 9 - высшее (крайнее) превосходство.

Результат сравнения при этом записывается в виде дроби А/1, если фактор по горизонтали, по мнению эксперта, важнее фактора по вертикали в А раз, или 1/В, если фактор по вертикали важнее фактора по горизонтали в В раз. В соответствии с принятой шкалой, числа А и В могут принимать целые значения от 1 до 9. Таблица 6 иллюстрирует эту процедуру для коэффициента немотивированных инсайдеров.

А.С. Зайцев, А.А. Малюк

Далее представим все элементы данной таблицы в виде десятичных дробей, суммируем значения элементов по строкам и нормируем сумму. В итоге получим результаты, приведенные в табл. 7.

Таблица 6

Метод парных сравнений (данные эксперта)

Факторы У_ОБУЧ У_УВЕД У_ОРГМ П_АТМК У_ТЕХМ

У_ОБУЧ 1/1 1/1 1/2 1/5 1/3

У_УВЕД 1/1 1/1 1/5 1/1 5/1

У_ОРГМ 2/1 1/3 1/1 1/2 2/1

П_АТМК 5/1 1/1 2/1 1/1 1/1

У_ТЕХМ 3/1 1/5 1/2 1/1 1/1

Таблица 7

Нормированные суммы по строкам

Факторы У_ОБУЧ У_УВЕД У_ОРГМ П_АТМК У_ТЕХМ Сумма Нормиров. сумма

У_ОБУЧ 1 1 0,5 0,2 0,33 3,03 0,092

У_УВЕД 1 1 0,2 1 5 8,2 0,250

У_ОРГМ 2 0,33 1 0,5 2 5,83 0,178

П_АТМК 5 1 2 1 1 10 0,305

У_ТЕХМ 3 0,2 0,5 1 1 5,7 0,174

Сумма: 32,76 1

Полученные таким образом нормированные значения определяют важность фактора для определения коэффициента немотивированных инсайдеров, который в окончательном виде записывается формулой:

КЧ_НЕМО = 1/5*(0,092*(1-У_0БУЧ)+

+0,250*(1-У_УВЕД)+0,178*(1-У_0РГМ)+

+0,305*(1-П_АТМК)+0,174*(1-У_ТЕХМ)

Данный метод, конечно же, не может считаться точным, однако он позволяет получать значения элементов системы формализованным путем при отсутствии статистического материала.

Исследование проблемы внутреннего нарушителя

Если в предлагаемом опросе принимает участие не один эксперт, а целая группа экспертов, то возникает необходимость некоторым образом определять правдоподобность и адекватность оценок каждого нового эксперта. Целесообразно для этого воспользоваться аппаратом математической статистики. Тогда среднее значение каждого коэффициента, полученное с помощью экспертного опроса, может быть выражено формулой:

Среднеквадратичное отклонение этой величины будет равно:

После накопления достаточного числа экспертной информации для дальнейшего повышения уровня адекватности оценок можно воспользоваться процедурой фильтрации экспертных оценок. По правилу трех сигм (трех з), если отклонение любого коэффициента, получаемого из оценки эксперта, превышает 3*8, то с вероятностью 99,7% оценка такого эксперта оказывается неадекватной, и данные, введенные этим экспертом, необходимо отбраковать, а самого эксперта исключить из дальнейших опросов, считая его недостаточно компетентным.

Далее встает вопрос перевода коэффициента нарушителей в относительное число таких нарушителей по сравнению со всей численностью сотрудников предприятия в год (для которого определяется число инцидентов). Если умножить относительное число нарушителей какого-либо типа в год на среднюю стоимость одного такого инцидента, то можно получить также величину ущерба, наносимого предприятию за счет инцидентов данного типа.

Для перевода коэффициента некоторого типа нарушителей в относительное число нарушителей данного типа необходимо использование доступной статистики.

Допустим, что мы обладаем статистикой инцидентов на конкретном предприятии. Тогда можно определить значения относительного числа нарушителей определенного типа в год по сравнению со всей численностью сотрудников (число данных инцидентов/общее число сотрудников предприятия). Для этого разобьем

п

а = П 2 аг

А.С. Зайцев, А.А. Малюк

полученные выше значения на 10 последовательных групп с равным количеством точек. Далее возьмем среднее значение в группе 1 и получим значение относительного числа нарушителей для коэффициента нарушителей, равного 1. Например, для немотивированных нарушителей будем иметь:

1 - П КЧ НЕМО 10

КЛ_НЕМО(КЧ_НЕМО) - <

10 * п

2 а(г), при _КЧ_НЕМО > 0

■ п*(КЧ НЕМО-1) 10

0, при _КЧ_НЕМО - 0

Ущерб от реализации одного инцидента определенного вида может быть определен, исходя из имеющейся статистической информации. При наличии таких данных можно определить ущерб от реализации угроз определенного типа, например для случая с немотивированными инсайдерами, следующим образом:

ПЛО_НЕМО - КЛ_НЕМО (КЧ_НЕМО)*

ПСТ_НЕМО*ПЛО_ПЕРС

Таким образом, мы получаем количественный финансовый показатель для каждого типа инсайдерских угроз.

Далее для реализации нашей модели необходимо определить следующие элементы системы: уровень зарплат, поощрений, социальный пакет; качество работы службы кадров; мероприятия для укрепления коллектива; обучение сотрудников ИБ; организационные меры защиты; регистрацию действий пользователей; технические меры защиты; установленную в документах ответственность за нарушение ИБ.

Каждый из перечисленных элементов представляет собой совокупность одного из чисел от 0 до 10 и денежного эквивалента, т. е. суммы, которую необходимо потратить, чтобы достичь данного уровня управляющего элемента.

Задать эти характеристики можно, оценивая уже существующие системы и выработав с помощью экспертов рекомендации о внедрении необходимых изменений для достижения требуемых значений управляющего элемента, либо путем проведения экспертизы определить набор требований для каждого из уровней управляющего элемента. Первый из указанных способов не обладает достаточной универсальностью и малоприменим на практике.

Исследование проблемы внутреннего нарушителя

Если говорить о втором способе, то, например, для достижения уровня 7 элемента «Технические меры защиты», необходимо применять следующий комплекс мер: контекстную фильтрацию по уровню 7; средства для контроля портов по уровню 7; шифрование жестких дисков рабочих станций по уровню 7. Для достижения уровня 10 необходимо применять систему защиты Data Loss Protection уровня 10.

Удобнее всего это реализовать в виде некоторого экспертного центра, в котором все средства защиты будут проходить сертификацию и им будет присваиваться соответствующий уровень. Здесь будут также формироваться пакеты требований для достижения определенного уровня. Финансовый показатель при этом будет определяться как средний из всех возможных пакетов требований данного уровня. Аналогичным образом определяются все остальные управляющие элементы. Остается единственный неопределенный элемент схемы «Уведомление об ответственности за нарушение ИБ». Для моделирования его необходимо задавать вручную, имея в виду, что он в то же время зависит от элементов «Установленная в документах ответственность за нарушение ИБ» и «Регистрация действий пользователей».

Процедура его определения может выглядеть следующим образом. Априорно уведомление об ответственности за нарушение ИБ не может быть действенным без апостериорных методов, которые позволяют установить факт нарушения ИБ и наказать его виновника. Таким образом, элемент «Уведомление об ответственности за нарушение ИБ» не может быть больше значения некоторой совокупности действенности апостериорных методов.

Определим вспомогательный коэффициент возможного максимального значения «Уведомления об ответственности за нарушение ИБ», используя метод парных сравнений для анализа иерархий Т. Саати. Само значение «Уведомления об ответственности за нарушение ИБ» администратор системы может при этом задавать от 0 до некоторого максимального значения.

Все приведенные методы так или иначе используют экспертный опрос. В то же время для уменьшения влияния субъективности и повышения точности моделирования желательно минимизировать участие экспертов. Рассмотрим возможность использования для этого нейронной сети, позволяющей смоделировать действия человека, имитируя его поведение9.

А.С. Зайцев, А.А. Малюк

Нейронная сеть позволяет в применении к нашему случаю заменить неизвестную функцию зависимости выходной переменной от входных (рис. 6).

Нейроны обучаются на имеющейся статистике наборов входных и выходных параметров, и в дальнейшем нейронная сеть способна установить зависимость выходного параметра от входных (смоделировать неизвестную функцию F) при неизвестных в процессе обучения входных параметрах.

Применительно к данной работе на нейронных сетях можно моделировать функционирование таких элементов, как «Коэффициент немотивированных инсайдеров» и «Относительное число немотивированных инсайдеров», «Коэффициент обиженных инсайдеров» и «Относительное число обиженных инсайдеров», «Коэффициент нелояльных инсайдеров» и «Относительное число нелояльных инсайдеров», «Коэффициент специально внедренных инсайдеров» и «Относительно число специально внедренных инсайдеров», «Атмосфера в коллективе», «Текучесть кадров», «Уведомление об ответственности за нарушение ИБ».

Коэффициенты нарушителей были приведены в паре с их количественными характеристиками ввиду того, что нейронная сеть позволит напрямую связать меры защиты с относительным числом немотивированных инсайдеров, минуя дополнительные элементы. Это также положительно скажется на точности системы (так как уменьшение количества последовательно идущих трудно-формализуемых элементов уменьшает погрешности, связанные с формализацией).

Но реализовать всю систему в виде одной большой нейронной сети невозможно, так как в этом случае в силу вступает так называемое проклятие размерности нейронных сетей: количество статистического материала, необходимого для обучения нейронной

Исследование проблемы внутреннего нарушителя

сети растет нелинейно при возрастании числа входных переменных. Тем самым нет возможности обеспечить статистическим материалом «большую» нейронную сеть.

В нашем случае целесообразно создать нескольких мелких лег-кообучаемых нейронных сетей, объединяемых в систему при помощи методов имитационного моделирования (рис. 7).

Рис. 7. Построение системы в виде нескольких нейронных сетей, объединенных при помощи имитационного моделирования

При использовании методологии, приведенной в данной статье, будут решены такие проблемы, как проблема формализации человеческого фактора в системе и проблема нехватки статистического материала для построения аналитических и управленческих систем в области информационной безопасности.

Примечания

1 См.: Инсайдерские угрозы в России 2009 [Электронный ресурс] // Сайт

Perimetrix. [М., 2009]. URL: http://www.perimetrix.ru/downloads/rp/PTX_ Insider_Security_Threats_in_Russia_2009.pdf (дата обращения: 06.01.2012).

2 См.: Глобальное исследование утечек конфиденциальной информации. Первое

полугодие 2010 [Электронный ресурс] // Сайт Infowatch. [М., 2010]. URL: http://www.infowatch.ru/sites/default/files/report/infowatch_global_data_leak-age_report_2010_russian.pdf (дата обращения: 01.07.2010).

3 См.: 2011 CyberSecurityWatch Survey [Электронный ресурс] // Сайт Carnegie

Mellon University. [М., 2011]. URL: http://www.cert.org/archive/pdf/ Cyber SecuritySurvey2011Data.pdf (дата обращения: 06.01.2012).

4 См.: Руководящий документ Государственной технической комиссии при Прези-

денте Российской Федерации от 30 марта 1992 г. Концепция защиты средств

А.С. Зайцев, А.А. Малюк

вычислительной техники и автоматизированных систем от несанкционированного доступа к информации; ГОСТ 17799-05: Практические правила управления информационной безопасностью. [Электронный ресурс] [М., 2005]. URL: http://docs.cntd.ru/document/1200044724 (дата обращения: 06.01.2012); Биячуев Т.А. Безопасность корпоративных сетей. СПб., 2004.

5 См.: Текучесть кадров [Электронный ресурс] // Сайт ГК «Баланс». [М., 2011].

URL: http://www.balans.rU/ru/library/8/article_39.html (Дата обращения: 06.01.2012).

6 См.: Форестер Дж. Индустриальная динамика. Основы кибернетики предприя-

тия. М.: Прогресс, 1961; Сендж П. Пятая дисциплина. Искусство и практика самообучающейся организации. М.: Олимп-Бизнес, 2006.

7 См.: Руководящий документ Государственной технической комиссии при Прези-

денте Российской Федерации от 30 марта 1992 г.

8 См.: Саати Т. Принятие решений. Метод анализа иерархий. М.: Радио и связь,

1993.

9 См.: Рассел С., Норвиг П. Искусственный интеллект. Современный подход. М.:

Вильямс, 2007.