Кто такие нарушители безопасности информации, какие типы и уровни нарушителей выделяют по ФСТЭК и как использовать эту классификацию для построения рабочей модели угроз.
Около 75 % инцидентов так или иначе связаны с человеческим фактором. Это не только злонамеренные инсайдеры, но и ошибки, игнорирование требований, формальное отношение к правилам. Именно действия легитимных пользователей чаще всего становятся отправной точкой серьезных инцидентов.
Именно поэтому в моделировании угроз ключевым элементом становится нарушитель — не как абстрактный злоумышленник, а как источник угрозы, обладающий определёнными возможностями. Корректная классификация нарушителей БИ позволяет оценивать реалистичность сценариев, прогнозировать последствия и выбирать адекватные меры защиты.
Защита от инсайдеров со Staffcop
Защита от внутренних угроз это не только контроль доступов, но и учет поведения сотрудников. Обнаруживайте инсайдерские угрозы со Staffcop до того, как они приведут к инциденту.
Кто такие нарушители БИ
Нарушитель безопасности информации — это субъект (физическое лицо или организация), который способен реализовать угрозу в отношении активов компании (данных, сервисов, инфраструктуры). Ключевое: в модели угроз нарушитель описывается не характером, а тем, что он может сделать, какие ресурсы, инструменты, знания и доступ у него есть.
Полезно разделять проблему на два слоя:
нормативный (от ФСТЭК): уровни возможностей нарушителей — это строго про техническую и организационную силу атакующего;
прикладной (управленческий): внутренние угрозы безопасности, инсайдерские угрозы, человеческий фактор, мотивы нарушителей, преднамеренные действия и непреднамеренные нарушения.
На практике нарушитель — конкретная роль в системе: сотрудник, подрядчик, партнёр, внешний пользователь. ИБ-специалисту важно рассматривать нарушителя как источник риска, связанный с доступами, поведением и контекстом работы.
Определение нарушителя по ФСТЭК
В методических документах ФСТЭК России нарушитель рассматривается как источник угроз безопасности информации, обладающий определенным уровнем подготовки, осведомленности, доступом и ресурсами. Смысл этого подхода не в перечислении категорий, а в том, чтобы понять: одна и та же угроза реализуема разными нарушителями, но с разной вероятностью и разным масштабом последствий. Именно поэтому классификация по ФСТЭК используется как основа для анализа угроз.
Роль нарушителей в модели угроз
Модель нарушителя информационной безопасности — центральный элемент модели угроз. Она отвечает на вопрос: кто в реальности способен реализовать угрозы именно в этой системе.
Типичная ошибка — учитывать только внешние угрозы информационной безопасности. В результате компания усиливает периметр, но не контролирует действия пользователей. Инцидент возникает не из-за взлома, а из-за легитимного вывода данных за пределы контролируемого контура.
Классификация по принадлежности к системе
Этот разрез не заменяет ФСТЭК, но помогает объяснить бизнесу риски и выстроить приоритеты контроля. Классическое деление — на внешних и внутренних нарушителей — по-прежнему полезно, но в современных условиях граница между этими группами часто размыта, потому что появились удаленка, облачные сервисы, цепочки поставок удлинилась. Поэтому важно не просто назвать класс, а сразу понять какой у нарушителя доступ и как он может стать инструментом атаки.
Здесь полезно держать в голове две группы: внешние угрозы информационной безопасности и внутренние угрозы ИБ. И обе группы часто упираются в поведение людей.
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали.
Внешние нарушители БИ
Внешние нарушители БИ не имеют легитимного доступа к инфраструктуре. К ним относятся хакеры, преступные группы ИБ, конкуренты, использующие методы конкурентной разведки, террористические организации и государственные структуры.
Типовая ошибка — воспринимать внешние угрозы исключительно как технические атаки. На практике внешние нарушители всё чаще действуют через доверие: фишинг, компрометацию подрядчиков, использование ошибок сотрудников. Формально атака внешняя, но точка входа почти всегда находится внутри.
Внутренние нарушители БИ
Внутренние нарушители безопасности информации — сотрудники и подрядчики с законным доступом к данным и системам. Именно внутренние угрозы ИБ представляют наибольшую сложность, поскольку действия нарушителя выглядят легитимными и не сразу выделяются на фоне нормальной активности.
Важно понимать: внутренний нарушитель — это не обязательно какой-либо шпион или предатель. На практике выделяют три основные группы:
- Непреднамеренные нарушители – не знают, не думают об ИБ. Например, сотрудник выгружает рабочие документы в личное облако, чтобы просто доделать дома. Умысла нет, но возникает неконтролируемый канал утечки.
- Равнодушные нарушители – игнорируют требования, которые отлично знают. Пользователь отключает антивирус/агент контроля на пару часов, потому что тормозит компьютер, и забывает включить
- Преднамеренные нарушители – вредят осознанно, злоупотребляют доступом к системе. Идет подготовка к увольнению, вынос базы, саботаж (например, удаление/искажение данных или нежелание передавать дела и знания в ключевых процессах).
Отдельно можно рассматривать нелояльных работников — обиженные сотрудники, бывшие работники. Это риск, где мотивы нарушителей часто связаны с конфликтом, увольнением или выгодой. Эти “виды нарушителей УБИ” удобно выделять как отдельный сценарный класс внутренних угроз при проектировании мер защиты: контроль доступа, DLP/UEBA или IRM, расследование инцидентов, журналирование.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.
Классификация по уровню возможностей ФСТЭК
Ключевым нормативным элементом при анализе угроз является классификация нарушителей по уровню возможностей, установленная ФСТЭК. Данная классификация описывает исключительно технические и организационные возможности нарушителя и не включает оценку его мотивов, целей или поведенческих характеристик. Именно в таком виде она используется специалистами при построении модели угроз и выборе адекватных мер защиты.
Базовый нарушитель
Нарушитель, обладающий базовыми возможностями, способен реализовывать угрозы безопасности информации с использованием только известных уязвимостей и общедоступных инструментов. Он применяет скрипты и средства, свободно распространяемые в сети Интернет, обладает базовыми компьютерными знаниями и, при наличии физического доступа, может воздействовать на технические средства, линии связи и обеспечивающие системы.
К данному уровню могут относиться как внешние лица, так и внутренние субъекты, включая авторизованных пользователей, бывших работников и персонал, обеспечивающий функционирование информационных систем и сетей. Определяющим фактором в данном случае является не статус субъекта, а ограниченный набор его технических возможностей.
Базовый повышенный уровень
Нарушитель с базовыми повышенными возможностями обладает всеми возможностями базового уровня, но дополнительно хорошо понимает принципы работы используемых инструментов и способен модифицировать их для повышения эффективности атак.
Он умеет самостоятельно планировать и реализовывать сценарии угроз, обладает практическими знаниями о функционировании систем, сетей и применяемых защитных механизмов. Такой нарушитель может использовать неизвестные уязвимости, однако не обладает возможностями для атак на физически изолированные сегменты.
В методических материалах ФСТЭК в качестве примеров для данного уровня приводятся различные внешние субъекты. При этом в рамках внутреннего контура к базовому повышенному уровню могут быть отнесены лица, обладающие практическим опытом сопровождения или администрирования ИТ-систем, в зависимости от фактического объема их знаний и доступа.
Средний и высокий уровни
Нарушитель со средними возможностями располагает более серьезными ресурсами и экспертизой. Он способен приобретать информацию об уязвимостях и инструменты на специализированных платных ресурсах, самостоятельно разрабатывать средства реализации угроз, анализировать программный код, встроенное программное обеспечение и телекоммуникационное оборудование.
Такие нарушители, как правило, действуют в составе группы лиц и обладают глубоким пониманием архитектуры систем и защитных механизмов. При этом и для данного уровня сохраняется ограничение на атаки физически изолированных сегментов. В рамках внутренних угроз к этому уровню могут относиться лица, вовлеченные в проектирование, развитие или эксплуатацию ИТ-инфраструктуры и обладающие расширенными полномочиями доступа.
Нарушитель с высокими возможностями обладает практически неограниченным потенциалом для реализации угроз. Он способен получать доступ к исходному коду программного обеспечения для выявления уязвимостей нулевого дня, внедрять программные и программно-аппаратные закладки на этапах поставки, разрабатывать методы атак с привлечением специализированных научных организаций и применять специальные технические средства воздействия.
Такие нарушители могут длительное время скрытно реализовывать угрозы и привлекать специалистов с различными уровнями возможностей. В классификации ФСТЭК к данному уровню относятся наиболее ресурсно обеспеченные субъекты, обладающие системным доступом и возможностью влиять на критические элементы информационной инфраструктуры.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Типы нарушителей по целям и мотивам
Анализ целей и мотивов нарушителя используется как прикладной аналитический слой и дополняет нормативную классификацию по уровню возможностей. Он не заменяет модель ФСТЭК, но позволяет точнее выбирать организационные и технические меры защиты, а также приоритизировать сценарии угроз.
На практике чаще всего выделяют следующие типы нарушителей.
Одиночные нарушители и небольшие группы
К данной категории относятся лица или небольшие неформальные группы, действующие из личного интереса, любопытства, стремления к самоутверждению или репутации в профессиональном сообществе. Их действия, как правило, не носят системного характера и ограничены доступными инструментами и знаниями.
Основные цели — демонстрация навыков, получение несанкционированного доступа, публикация результатов атак. Уровень возможностей таких нарушителей может варьироваться от базового до базового повышенного.
Преступные группы, ориентированные на финансовую выгоду
Преступные группы действуют с чётко выраженной экономической мотивацией. Их целью является извлечение прямой или косвенной финансовой выгоды — хищение денежных средств, вымогательство, продажа данных или доступа к инфраструктуре.
Такие группы, как правило, обладают распределением ролей, используют специализированные инструменты и могут сочетать различные уровни возможностей — от базового повышенного до среднего и выше. Их активность часто носит серийный и масштабируемый характер.
Террористические и экстремистские структуры
Данный тип нарушителей ориентирован не на получение финансовой выгоды, а на дестабилизацию, нарушение доступности сервисов и создание общественного резонанса. Целями атак могут быть критически важные информационные ресурсы, системы управления и публичные сервисы.
Уровень технических возможностей таких структур может существенно различаться и не всегда является определяющим фактором — значимую роль играют символический эффект атаки и ее последствия для функционирования систем.
Конкурирующие организации
Конкурирующие организации рассматриваются как отдельная категория нарушителей с преимущественно экономической мотивацией. Их интерес может быть связан с получением коммерчески значимой информации, нарушением устойчивости бизнес-процессов конкурента или созданием преимуществ на рынке.
В отличие от преступных групп, действия конкурентов чаще носят скрытый и точечный характер, а цели — прикладной и прагматичный. Уровень возможностей при этом может варьироваться в широких пределах и определяется доступом к ресурсам, экспертизе и подрядчикам.
Специальные службы и государственные структуры
Специальные службы и аффилированные с ними структуры выделяются в отдельную категорию в силу принципиально иного масштаба ресурсов, горизонта планирования и целей. Их деятельность может быть направлена на долговременный сбор информации, влияние на процессы управления, подготовку к последующим воздействиям или разведывательные задачи.
Для данной категории характерно сочетание высоких и максимальных уровней возможностей, использование сложных и нетиповых методов атак, а также длительное скрытное присутствие в инфраструктуре.
Связь мотивов и уровней возможностей
Один и тот же мотив может соответствовать различным уровням возможностей нарушителя по классификации ФСТЭК. Анализ целей и мотивов не подменяет оценку возможностей, а используется совместно с ней для формирования целостной модели угроз и выбора адекватных мер защиты.
Методы и способы действий нарушителей
Методы реализации угроз зависят от возможностей нарушителя и условий среды. Чаще всего используются комбинированные сценарии.
Физический доступ и атаки
Физический доступ нарушителя часто недооценивают. Доступ к рабочей станции, носителям или инфраструктуре способен полностью обойти программные меры защиты.
Программные и социальные методы
Наиболее распространенные методы — программные средства взлома и социальная инженерия ИБ. Именно социальная инженерия чаще всего превращает внешнюю угрозу во внутреннюю, используя доверие и невнимательность сотрудников.
Модели нарушителей в ИБ
Модель нарушителя объединяет нормативный и прикладной подходы. Она опирается на уровни возможностей ФСТЭК и данные Банка угроз, но при этом учитывает реальную архитектуру и процессы конкретной организации.
На практике:
- для распределенных команд наиболее актуальны нарушители с базовыми и базовыми повышенными возможностями;
- для организаций с большим числом подрядчиков — сценарии компрометации цепочки поставок;
- для объектов критической инфраструктуры — угрозы со стороны нарушителей средних и высоких уровней.
Заключение
Классификация нарушителей БИ — это рабочий инструмент, а не формальность. Уровни возможностей ФСТЭК описывают технический потенциал нарушителей и служат основой для оценки реализуемости угроз. Поведенческие факторы, мотивы и инсайдерские риски дополняют этот анализ, но не подменяют его. Только при таком разграничении модель угроз остается корректной и полезной для построения защиты.