Читаем Обеспечение информационной безопасности бизнеса полностью

а) действовать в рамках чужих либо «ничьих» полномочий (ролей);

б) найти в рамках своих штатных полномочий различные непредусмотренные дополнительные возможности и их использовать;

в) исследовать структуру деятельности организации, обнаружить там условия возникновения коллизии (когда все действуют штатно, но возникает событие ИБ) и их инициировать в нужное ему время.

Самый простой и понятный способ идентификации событий ИБ основывается на предварительном анализе и фильтрации всех контролируемых в организации событий по принципу предопределенности в интерпретации события. Например, события, связанные с выявлением проникновения и тем более запуском вредоносного программного кода (вирусов). Очевидно, что иных целей, кроме злоумышленных, тут не может быть. То же можно сказать и о любых нарушениях в используемых технологиях на основе секрета (PIN-коды, пароли, криптографические ключи и т. д.). Нарушения в этой сфере могут содержать признаки злоумышленной активности. Можно указать также на процессы и технологии, связанные с отчуждением информации или получением прав доступа к ней, и на процедуры (процессы) контроля информации (особенно прикладными системами). Например, отбраковка первичного документа приложением «1С-Бухгалтерия» может указать на признаки злоумышленной активности при создании этого документа.

Сформированное таким образом подмножество типов данных дает весьма полезную для безопасности информацию. Однако:

а) это очень незначительная часть реально нужной информации;

б) могут быть проблемы с ее доступностью, достоверностью, полнотой и своевременностью.

Дело в том, что в большинстве случаев на практике непосредственное участие безопасности в этих проблемах ограничено созданием нормативной базы. Практическая реализация, а тем более контроль за деятельностью есть предмет соглашения заинтересованных субъектов. В каждой организации это реализуется по-разному, и безопасность лишь частично задействована.

Так, антивирусные средства почти всегда находятся во владении ИТ-подразделения; технологии с применением секрета могут быть замкнуты на бизнес-подразделения организации (в силу причин юридической ответственности исполнителя); контроль сосредоточен, как правило, в системе внутреннего контроля организации. Однако даже эта ограниченная информация уже может дать хороший результат, если обеспечить ее контекстное расширение и использовать накопительный анализ по всему контексту. Для этого для каждого зарегистрированного/задокументированного события необходимо идентифицировать все вовлеченные объекты (активы), процессы, инструменты, субъекты, роли. По всей полученной базе и нужно проводить анализ.

Как еще расширить полезную информацию, по каким критериям?

• На основе анализа расширить область предопределенности, выделив активы, процессы, инструменты, субъекты, роли, существенно влияющие на риск-факторы. Далее для выделенных элементов осуществить накопительный анализ по всем событиям базовых рисков на предмет выявления злоумышленной активности.

• По величине ущерба — если ущерб превысит предустановленный порог, то связанное с ним рисковое событие должно исследоваться на наличие злоумышленной активности.

• На основе анализа непрерывности по пространству и времени информационной сферы организации необходимо выделить точки потенциального разрыва типа: «реальное событие было, но не отобразилось в информационной сфере», «реального события не было, а в информационной сфере отображено» и им подобных. Тогда для любого компонента «А, П, И, С, Р», попавшего в разрыв, дополнив его контекстом, необходимо проводить накопительный анализ по безопасности.

Накопительный анализ основывается на обобщениях, позволяющих выделить состояния (события) — предвестники и события — признаки. Предвестники позволяют понизить риски путем своевременного реагирования. Не менее важна своевременная идентификация событий ИБ, так как наносимый ущерб, как правило, скачкообразно возрастает по завершении логически связанной цепочки событий.

Могут быть использованы статистические критерии на основе выявления неоднородностей. Так, например, пачка однотипных (или близких) событий на коротком интервале времени и позиционированных тем более на ограниченном множестве в пространстве «А, П, И, С, Р» обязательно будет иметь общую причину и, быть может, злонамеренную.

Существуют две области событий, обладающие максимальной (и примерно одинаковой) неопределенностью:

— стохастическая составляющая бизнеса или эквивалентная ей с точки зрения анализа слабо регламентированная или вовсе нерегламентированная область деятельности;

— штатная (разрешенная) деятельность.

В обоих случаях возможен только прямой контроль за целью деятельности. Он основывается на том обстоятельстве, что цель всегда отображается на множество «А, П, И, С, Р» и образует там некоторое отношение порядка. То есть один и тот же субъект в рамках одной и той же назначенной ему роли реализует каждый раз цель либо одним и тем же, либо близким способом.