Файл: Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 549
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
– выбор оправданных механизмов защиты (возможно, с использованием стоимостного анализа).
Оценка уязвимостей активов ИС, обусловленных слабостями их защиты, предполагает определение вероятности успешного осуществления угроз безопасности.
Угрозы и уязвимости, а также их вероятность определяются в результате проведения технологического аудита защищенности информационной системы организации. Такой аудит может быть выполнен как специалистами организации (так называемый, внутренний аудит), так и сторонними консультантами (внешний аудит).
5.2.1.3. Оценка рисков для возможных случаев успешной реализации угроз информационной безопасности
Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей. Величина риска определяется на основе стоимости актива, уровня угрозы и величины уязвимости. С их увеличением возрастает и величина риска. Оценка рисков состоит в том, чтобы выявить существующие риски и оценить их величину, т. е. дать им количественную оценку. Существуют различные методики измерения и оценки рисков, например, табличные, с помощью количественных шкал и др. [42, 43].
Классическая формула оценки информационного риска:
R P V где R – информационный риск; – величина возможного ущерба; P V – вероятность реализации определенной угрозы через некоторые уязвимости, которая может быть определена как относительная частота появления количества инцидентов ИБ в общем объеме наблюдений событий безопасности за достаточно большой период, либо определена субъективно на основе опыта пользователей как мера уверенности появления инцидентов
ИБ.
Разработка методики оценки риска – достаточно трудоемкая задача. Во- первых, такая методика должна всесторонне описывать информационную систему, ее ресурсы, угрозы и уязвимости. Задача заключается в том, чтобы построить максимально гибкую модель информационной системы, которую можно было бы настраивать в соответствии с реальной системой. Во-вторых, методика оценки рисков должна быть предельно прозрачна, чтобы владелец информации, использующий ее, мог адекватно оценить ее эффективность и применимость к своей конкретной системе.
На сегодняшний день существует два основных метода оценки рисков информационной безопасности
, основанных на построении: модели угроз и
уязвимостей и модели информационных потоков.
Метод оценки рисков, основанный на модели угроз и уязвимостей. С
точки зрения базовых угроз информационной безопасности существует два режима работы алгоритма, реализующего этот метод:
– одна базовая угроза (суммарная);
– три базовые угрозы.
Исходные данные:
– ресурсы (сервер закрытого контура, сервер открытого контура, МЭ открытого контура, СКЗИ закрытого контура, однонаправленный шлюз, оборудование ЛВС закрытого контура, оборудование ЛВС открытого контура);
– критичность ресурса (величина ущерба);
– отделы, к которым относятся ресурсы (закрытого и открытого контура);
– угрозы, действующие на ресурсы;
– уязвимости, через которые реализуются угрозы;
– вероятность реализации угрозы через данную уязвимость (на основе полученной модели проводится анализ вероятности реализации угроз информационной безопасности на каждый ресурс);
– критичность реализации угрозы через данную уязвимость.
Приведем алгоритм расчета рисков по угрозе информационной
безопасности.
1. На первом этапе рассчитывается уровень угрозы по уязвимости на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.
2. Для расчета уровня угрозы по всем уязвимостям , через которые возможна реализация данной угрозы на ресурсе, суммируются полученные уровни угроз через конкретные уязвимости (для режима с одной базовой угрозой и для режима с тремя базовыми угрозами).
3. Аналогично рассчитывается общий уровень угроз по ресурсу
(учитывая все угрозы, действующие на ресурс).
4. Рассчитывается риск по ресурсу .
5. Рассчитывается риск по информационной системе в целом.
Таким образом, в результате работы алгоритма пользователь системы получает оценки риска:
– по трем базовым угрозам (или по одной суммарной угрозе) для ресурса;
– суммарно по всем угрозам для ресурса;
– по трем базовым угрозам (или по одной суммарной угрозе) для информационной системы;
– по всем угрозам для информационной системы.
Кроме того, указанный алгоритм позволяет пользователю оценить эффективность контрмеры, а также эффективность комплекса контрмер.
Оценка рисков информационной безопасности, основанная на модели
информационных потоков. Оценка рисков информационной безопасности,
– одна базовая угроза (суммарная);
– три базовые угрозы.
Исходные данные:
– ресурсы (сервер закрытого контура, сервер открытого контура, МЭ открытого контура, СКЗИ закрытого контура, однонаправленный шлюз, оборудование ЛВС закрытого контура, оборудование ЛВС открытого контура);
– критичность ресурса (величина ущерба);
– отделы, к которым относятся ресурсы (закрытого и открытого контура);
– угрозы, действующие на ресурсы;
– уязвимости, через которые реализуются угрозы;
– вероятность реализации угрозы через данную уязвимость (на основе полученной модели проводится анализ вероятности реализации угроз информационной безопасности на каждый ресурс);
– критичность реализации угрозы через данную уязвимость.
Приведем алгоритм расчета рисков по угрозе информационной
безопасности.
1. На первом этапе рассчитывается уровень угрозы по уязвимости на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.
2. Для расчета уровня угрозы по всем уязвимостям , через которые возможна реализация данной угрозы на ресурсе, суммируются полученные уровни угроз через конкретные уязвимости (для режима с одной базовой угрозой и для режима с тремя базовыми угрозами).
3. Аналогично рассчитывается общий уровень угроз по ресурсу
(учитывая все угрозы, действующие на ресурс).
4. Рассчитывается риск по ресурсу .
5. Рассчитывается риск по информационной системе в целом.
Таким образом, в результате работы алгоритма пользователь системы получает оценки риска:
– по трем базовым угрозам (или по одной суммарной угрозе) для ресурса;
– суммарно по всем угрозам для ресурса;
– по трем базовым угрозам (или по одной суммарной угрозе) для информационной системы;
– по всем угрозам для информационной системы.
Кроме того, указанный алгоритм позволяет пользователю оценить эффективность контрмеры, а также эффективность комплекса контрмер.
Оценка рисков информационной безопасности, основанная на модели
информационных потоков. Оценка рисков информационной безопасности,
основанная на модели информационных потоков, осуществляется на базе модели ИС организации. Данная модель позволяет оценить защищенность каждого вида информации. Алгоритм позволяет получить следующие данные:
– реестр ресурсов;
– значения риска для каждого ценного ресурса организации;
– значения риска для ресурсов после задания контрмер (остаточный риск);
– эффективность контрмер;
– рекомендации экспертов.
Для того чтобы построить модель ИС, необходимо проанализировать защищенность и архитектуру построения информационной системы.
Специалист по ИБ, привлекая владельца (менеджера) информационной системы (используя вопросники, интервью, документацию, инструменты автоматического сканирования), должен подробно описать архитектуру сети:
– все аппаратные (компьютерные) ресурсы, на которых хранится ценная информация;
– сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом);
– отделы, к которым относятся ресурсы;
– виды ценной информации;
– ущерб для каждого вида ценной информации по трем видам угроз;
– бизнес-процессы, в которых обрабатывается информация;
– пользователей (группы пользователей), имеющих доступ к ценной информации;
– класс группы пользователей;
– доступ группы пользователей к информации;
– характеристики этого доступа (вид и права);
– средства защиты информации;
– средства защиты рабочего места группы пользователей.
Исходя из введенных данных, можно построить полную модель информационной системы организации, на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе.
Приведем алгоритм анализа.
1. Составить структурную схему ИС на которой необходимо отобразить:
– все ресурсы (сервер, АРМ и т.д.);
– отделы, к которым относятся ресурсы;
– сетевые группы (локальные сети), физические связи ресурсов между собой и их подключения к Интернет;
– виды ценной информации, хранящейся на ресурсах;
– пользователей (группы пользователей), имеющих доступ к ценной
(конфиденциальной) информации.
2. Описать в виде таблиц средства защиты каждого аппаратного ресурса, средства защиты каждого вида информации, хранящемся на нем с указанием веса каждого средства
– реестр ресурсов;
– значения риска для каждого ценного ресурса организации;
– значения риска для ресурсов после задания контрмер (остаточный риск);
– эффективность контрмер;
– рекомендации экспертов.
Для того чтобы построить модель ИС, необходимо проанализировать защищенность и архитектуру построения информационной системы.
Специалист по ИБ, привлекая владельца (менеджера) информационной системы (используя вопросники, интервью, документацию, инструменты автоматического сканирования), должен подробно описать архитектуру сети:
– все аппаратные (компьютерные) ресурсы, на которых хранится ценная информация;
– сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом);
– отделы, к которым относятся ресурсы;
– виды ценной информации;
– ущерб для каждого вида ценной информации по трем видам угроз;
– бизнес-процессы, в которых обрабатывается информация;
– пользователей (группы пользователей), имеющих доступ к ценной информации;
– класс группы пользователей;
– доступ группы пользователей к информации;
– характеристики этого доступа (вид и права);
– средства защиты информации;
– средства защиты рабочего места группы пользователей.
Исходя из введенных данных, можно построить полную модель информационной системы организации, на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе.
Приведем алгоритм анализа.
1. Составить структурную схему ИС на которой необходимо отобразить:
– все ресурсы (сервер, АРМ и т.д.);
– отделы, к которым относятся ресурсы;
– сетевые группы (локальные сети), физические связи ресурсов между собой и их подключения к Интернет;
– виды ценной информации, хранящейся на ресурсах;
– пользователей (группы пользователей), имеющих доступ к ценной
(конфиденциальной) информации.
2. Описать в виде таблиц средства защиты каждого аппаратного ресурса, средства защиты каждого вида информации, хранящемся на нем с указанием веса каждого средства
3. Описать в виде таблицы вид доступа (локальный, удаленный) и права доступа (чтение, запись, удаление) для каждого пользователя (групп пользователей), а также наличие соединения через VPN, количество человек в группе для каждого информационного потока
4. Указать наличие у пользователей выхода в Интернет
5. Указать ущерб организации от реализации угроз ИБ для каждого информационного потока
6. Рассчитать риски для каждого вида ценной информации, хранящейся в ИС по угрозе «нарушение конфиденциальности», «нарушение целостности» и «нарушение доступности».
Результаты оценки рисков, как правило, представляются в «Отчете об
оценке информационных рисков организации».
Большинство инструментальных средств анализа рисков соответствуют требованиям международного стандарта ISO 177799, за основу которого взят британский стандарт BS 7799.
5.2.2. Планирование СУР ИБ организации. Обработка рисков
После вычисления оценки рисков необходимо провести обработку рисков, которая включает
– выбор способа обработки рисков;
– подготовку плана обработки рисков или плана мероприятий по
снижению
рисков
с
указанием
контрмер
(административные,
организационные, программно-технические);
– расчет эффективности выбранных контрмер по снижению рисков.
5.2.2.1. Выбор способов обработки рисков
Выбор способа обработки рисков лежит в основе первого этапа обработки информационных рисков, в процессе которого определяются какие действия по отношению к рискам требуется выполнить в организации.
Основные критерии обработки рисков:
– принятие рисков;
– уклонение от рисков;
– передача рисков;
– снижение рисков.
Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым, т. е. организация не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Уклонение от рисков —полное устранение источника риска.
Передача рисков — перенесение ответственности за риск на третьи лица (например, поставщика оборудования или страховую организацию) без устранения источника риска.
Снижение рисков — выбор и внедрение мер по снижению вероятности нанесения ущерба.
В процессе обработки рисков сначала требуется определить, какие
из них требуют дальнейшей обработки, а какие можно принять.
Как правило, это решается с помощью оценки приемлемого уровня риска.
Риски, равные или ниже приемлемого, можно принять. Очевидно, что для рисков, превышающих приемлемый уровень, требуется выбрать дальнейшие меры по обработке. Приемлемый уровень риска определяется руководством организации или специальной группой, в которую входят руководители и главные финансисты организации. В случае, когда в организации наблюдается большой разброс значений риска (как правило, это может возникнуть, если критичность активов была определена в денежных единицах, а не уровнях), информационные риски можно разбить на категории и определять приемлемый уровень для каждой из них отдельно. Это вызвано тем, что снижать различные значения рисков до одного заданного значения не всегда целесообразно (часто для снижения высоких рисков до заданного уровня необходимы неоправданно большие затраты).
На сегодня один из наиболее распространенных – уменьшение риска путем принятия комплексной системы контрмер, включающей программно–
технические и организационные меры защиты. Контрмеры могут снизить уровни рисков различными способами (уменьшая вероятность осуществления угроз ИБ; ликвидируя уязвимости или понижая их величину; уменьшая величину возможного ущерба; способствуя восстановлению ресурсов ИС, которым был нанесен ущерб; выявляя атаки и другие нарушения безопасности). Близким является подход, связанный с уклонением от риска.
Наконец, в ряде случаев допустимо принятие риска. В этой ситуации важно определиться со следующей дилеммой: что для предприятия выгоднее – бороться с рисками или же с их последствиями, решая оптимизационную задачу.
После того как стратегия управления рисками
выбрана, проводится окончательная оценка мероприятий по обеспечению информационной безопасностис подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение входят все материалы анализа рисков и рекомендации по их снижению.
5.2.2.2. Подготовка плана обработки рисков
По результатам этапа «Выбор способов принятия рисков» составляется
«Отчет об обработке информационных рисков организации», который подробно описывает методы обработки рисков. Кроме этого, составляется
«План снижения рисков», где четко описываются контрмеры по снижению
рисков, сотрудники, ответственные за выполнение каждого положения плана, сроки выполнения плана. Данный документ содержит перечень первоочередных мероприятий по снижению уровней рисков, а также цели и средства управления, направленные на снижение рисков, с указанием:
– лиц, ответственных за реализацию данных мероприятий и средств;
– сроков реализации мероприятий и приоритетов их выполнения;
– ресурсов для реализации таких мероприятий;
– уровней остаточных рисков после внедрения мероприятий и средств управления.
Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба. Контрмеры могут способствовать уменьшению величины рисков различными способами:
– уменьшая вероятность осуществления угроз безопасности;
– ликвидируя уязвимости или уменьшая их величину;
– уменьшая величину возможного ущерба;
– выявляя атаки и другие нарушения безопасности;
– способствуя восстановлению ресурсов ИС, которым был нанесен ущерб.
5.2.2.3. Расчет эффективности выбранных контрмер по снижению рисков
Расчет эффективности принятых контрмер, является мерой снижения рисков ИБ. В случае применения метода оценки рисков, основанного, например, на модели угроз и уязвимостей для расчета эффективности контрмер после их задания необходимо повторно пройти последовательно по всему алгоритму вычисления оценки риска и вычислить значение нового риска по ресурсу (
). Таким образом, мы получаем значение двух рисков
– риска без учета контрмеры (
) и риск с учетом заданной контрмеры
(
). Эффективность введения контрмеры рассчитывается по формуле:
Если эффективность контрмеры недостаточна, например, не соответствует величине приемлемого риска, то необходимо уточнить контрмеры и пройти последовательно по всему алгоритму еще раз.
5.2.3. Разработка требований к системе мониторинга ИБ и критерию
оценки эффективности ИБ
Одной из основных функций СУИБ является мониторинг ИБ.
Мониторинг ИБ – постоянное наблюдение за объектами и субъектами ИС, влияющими на состояние ее безопасности, а также сбор, анализ и обобщение результатов наблюдений. При этом главной задачей системы мониторинга
ИБ является задача выявления и обработки инцидентов ИБ, количество которых служит мерой эффективности функционирования СОИБ.
5.2.3.1. Планирование организационно-технических требования по мониторингу состояния ИБ и контролю защитных мер СОИБ
Процесс мониторинга должен удовлетворять требованиям оперативности обнаружения несанкционированных действий и
непрерывности сбора и анализа результатов наблюдения. Целями мониторинга являются:
– контроль за выполнением требований нормативных актов регуляторов по обеспечению безопасности информации и требований ПИБ ИС организации;
– выявление нештатных (в том числе злоумышленных) действий в ИС;
– выявление инцидентов ИБ (событий ИБ, требующих расследования).
Основной задачей мониторинга СУИБ является наблюдение в режиме реального времени за активными субъектами системы (пользователями, процессами и др.), сбор и анализ данных о функционировании этих субъектов, обобщение результатов анализа и формирование качественной и/или количественной оценки состояния ИБ, а также оценки функционирования системы в целом. При этом особое внимание должно быть уделено наблюдению за действиями в системе привилегированных пользователей. Итоговая оценка может содержать информацию о доступности информационных активов системы, об обнаружении деструктивных воздействий и др. Результат указанной оценки должен оформляться в виде сообщений «несанкционированное действие» (НСД) и/или «инцидент ИБ» и оперативно пересылаться администратору ИБ (АИБ) системы.
Существует два класса принципиально различных моделей мониторинга информационной безопасности: 1) модели, основанные на знаниях и 2) модели, основанные на обучении.
Модели, основанные на знаниях или сигнатурные модели, предполагают непрерывное наблюдение объекта защиты на предмет выявления в нем следов (признаков, сигнатур) некоторого наперед заданного множества атак и их блокировки по заранее назначенным правилам. Идея состоит в том, чтобы каким–либо образом задать характеристики злоумышленного поведения (это и называется сигнатурами), а затем отслеживать поток событий в поисках соответствия с предопределенными образцами. Таким образом, под сигнатурным анализом понимается анализ событий мониторинга, выделяемых в потоке регистрируемых данных, на соответствие заданным событийным цепочкам (сигнатурам), определяемым специально настраиваемыми правилами (шаблонами, фильтрами). Каждое из правил представляет собой цепочку первичных событий с определенными параметрами (контекстом события). Анализируемый поток первичных событий анализируется на предмет присутствия в нем заданных цепочек.
Сигнатурный анализ производится в режиме реального времени. С правилами связаны обработчики событий, в которых производится анализ контекста на соответствие данному правилу и вырабатывается необходимая реакция, а именно, генерируется результирующее событие – сообщение о
НСД или инциденте. Другими словами, методы сигнатурного анализа позволяют фиксировать факты конкретных нарушений, механизм которых заранее известен. Самой сложной проблемой для сигнатурного подхода является обнаружение ранее неизвестных атак. Модели указанного типа
– контроль за выполнением требований нормативных актов регуляторов по обеспечению безопасности информации и требований ПИБ ИС организации;
– выявление нештатных (в том числе злоумышленных) действий в ИС;
– выявление инцидентов ИБ (событий ИБ, требующих расследования).
Основной задачей мониторинга СУИБ является наблюдение в режиме реального времени за активными субъектами системы (пользователями, процессами и др.), сбор и анализ данных о функционировании этих субъектов, обобщение результатов анализа и формирование качественной и/или количественной оценки состояния ИБ, а также оценки функционирования системы в целом. При этом особое внимание должно быть уделено наблюдению за действиями в системе привилегированных пользователей. Итоговая оценка может содержать информацию о доступности информационных активов системы, об обнаружении деструктивных воздействий и др. Результат указанной оценки должен оформляться в виде сообщений «несанкционированное действие» (НСД) и/или «инцидент ИБ» и оперативно пересылаться администратору ИБ (АИБ) системы.
Существует два класса принципиально различных моделей мониторинга информационной безопасности: 1) модели, основанные на знаниях и 2) модели, основанные на обучении.
Модели, основанные на знаниях или сигнатурные модели, предполагают непрерывное наблюдение объекта защиты на предмет выявления в нем следов (признаков, сигнатур) некоторого наперед заданного множества атак и их блокировки по заранее назначенным правилам. Идея состоит в том, чтобы каким–либо образом задать характеристики злоумышленного поведения (это и называется сигнатурами), а затем отслеживать поток событий в поисках соответствия с предопределенными образцами. Таким образом, под сигнатурным анализом понимается анализ событий мониторинга, выделяемых в потоке регистрируемых данных, на соответствие заданным событийным цепочкам (сигнатурам), определяемым специально настраиваемыми правилами (шаблонами, фильтрами). Каждое из правил представляет собой цепочку первичных событий с определенными параметрами (контекстом события). Анализируемый поток первичных событий анализируется на предмет присутствия в нем заданных цепочек.
Сигнатурный анализ производится в режиме реального времени. С правилами связаны обработчики событий, в которых производится анализ контекста на соответствие данному правилу и вырабатывается необходимая реакция, а именно, генерируется результирующее событие – сообщение о
НСД или инциденте. Другими словами, методы сигнатурного анализа позволяют фиксировать факты конкретных нарушений, механизм которых заранее известен. Самой сложной проблемой для сигнатурного подхода является обнаружение ранее неизвестных атак. Модели указанного типа
имеют множество разновидностей. Например, классические системы защиты информации от НСД, системы штатного аудита ОС и СУБД, – являются их частным случаем.
Модели, основанные на обучении, основываются на измерении отклонений наблюдаемого поведения субъекта (пользователей, приложений, аппаратуры) от его допустимого поведения. При этом допустимое
(«хорошее») поведение субъекта выявляется в процессе обучения системы контроля при его штатной работе. Одним из методов выявления аномальной активности является статистический метод.
Статистический анализ позволяет оценить соответствие текущего или апостериорного сеанса поведения легальных субъектов ИС априорному шаблону их поведения, построенному за определенные периоды времени.
При статистической обработке анализируются все события, фиксируемые системой мониторинга, а не только сигнатурные цепочки заданных событий.
При этом предполагается, что существуют статистические параметры наблюдаемой системы, неизменность которых отражает стабильность характера поведения ее субъектов. Количественные изменения этих параметров свидетельствует, либо об изменениях поведения субъектов (в том числе связанных с несанкционированными действиями), либо о действиях субъектов, направленных на дестабилизацию системы (изучение ее устойчивости, исследование недокументированных возможностей, обнаружение ошибок в администрировании и т. д.). Необходимо отметить, что типичной ситуацией в ИС является невозможность с помощью правил безопасности ограничить нежелательные действия легального пользователя, не лишив его при этом необходимой функциональности. В этой связи применение статистических методов играет большую эвристическую роль в системе мониторинга ИС, позволяя, во-первых, выявлять нетипичные действия легальных субъектов и, во-вторых, проводить более детальный анализ и дополнительные расследования.
Два подхода – статистический и экспертный хорошо дополняют друг друга, т. к. статистический подход хорош там, где существует понятие типичного поведения субъекта (т. е. распределения измеряемых величин в нормальной ситуации остаются относительно стабильными), а экспертный подход плохо справляется с неизвестными атаками (равно как и с многочисленными вариациями известных атак).
Проведенный выше анализ моделей нарушителя и угроз позволяет сделать вывод, что основную опасность с точки зрения несанкционированного доступа к информации в ИС и ее возможного искажения представляют собой действия лица, имеющего (или получившего путем преодоления средств защиты) наибольшие привилегии в любой подсистеме ИС – привилегии администраторов баз данных, операционных систем и СУБД. При этом они могут скрыть свои деструктивные действия с помощью удаления полей штатных журналов аудита в силу наличия у них значительных полномочий с одной стороны, и невозможности обеспечения полного контроля их действий штатными средствами – с другой. Например, в
Модели, основанные на обучении, основываются на измерении отклонений наблюдаемого поведения субъекта (пользователей, приложений, аппаратуры) от его допустимого поведения. При этом допустимое
(«хорошее») поведение субъекта выявляется в процессе обучения системы контроля при его штатной работе. Одним из методов выявления аномальной активности является статистический метод.
Статистический анализ позволяет оценить соответствие текущего или апостериорного сеанса поведения легальных субъектов ИС априорному шаблону их поведения, построенному за определенные периоды времени.
При статистической обработке анализируются все события, фиксируемые системой мониторинга, а не только сигнатурные цепочки заданных событий.
При этом предполагается, что существуют статистические параметры наблюдаемой системы, неизменность которых отражает стабильность характера поведения ее субъектов. Количественные изменения этих параметров свидетельствует, либо об изменениях поведения субъектов (в том числе связанных с несанкционированными действиями), либо о действиях субъектов, направленных на дестабилизацию системы (изучение ее устойчивости, исследование недокументированных возможностей, обнаружение ошибок в администрировании и т. д.). Необходимо отметить, что типичной ситуацией в ИС является невозможность с помощью правил безопасности ограничить нежелательные действия легального пользователя, не лишив его при этом необходимой функциональности. В этой связи применение статистических методов играет большую эвристическую роль в системе мониторинга ИС, позволяя, во-первых, выявлять нетипичные действия легальных субъектов и, во-вторых, проводить более детальный анализ и дополнительные расследования.
Два подхода – статистический и экспертный хорошо дополняют друг друга, т. к. статистический подход хорош там, где существует понятие типичного поведения субъекта (т. е. распределения измеряемых величин в нормальной ситуации остаются относительно стабильными), а экспертный подход плохо справляется с неизвестными атаками (равно как и с многочисленными вариациями известных атак).
Проведенный выше анализ моделей нарушителя и угроз позволяет сделать вывод, что основную опасность с точки зрения несанкционированного доступа к информации в ИС и ее возможного искажения представляют собой действия лица, имеющего (или получившего путем преодоления средств защиты) наибольшие привилегии в любой подсистеме ИС – привилегии администраторов баз данных, операционных систем и СУБД. При этом они могут скрыть свои деструктивные действия с помощью удаления полей штатных журналов аудита в силу наличия у них значительных полномочий с одной стороны, и невозможности обеспечения полного контроля их действий штатными средствами – с другой. Например, в