Разработка моделей нарушителей осуществляется на основе исследования возможных видов угроз объекту и способов их реализации.

Угрозы могут носить общий или локальный характер и исходить:

От людей;

От природных факторов;

От нарушения систем жизнеобеспечения из-за техногенных факторов, а также угрозы могут носить случайный характер.

При рассмотрении вопросов классификации нарушителей нас интересуют способы реализации угроз, исходящих от людей.

Рассматривают три типа нарушителей - неподготовленный, подготовленный, квалифицированный и две группы способов реализации угроз - контактные, бесконтактные.

Способы проникновения на объект, в его здания и помещения могут быть самые различные, например:

Разбитие окна, витрины, остекленной двери или других остекленных проемов;

Взлом двери, перепиливание дужек замка и другие способы проникновения через дверь;

Пролом потолка, подлежащего блокировке;

Пролом капитального потолка, не подлежащего блокировке;

Пролом стены, подлежащей блокировке;

Пролом капитальной стены, не подлежащей блокировке;

Пролом капитального пола, не подлежащего блокировке;

Пролом пола, подлежащего блокировке;

Проникновение через разгрузочный люк;

Проникновение через вентиляционное отверстие, дымоход или другие строительные коммуникации;

Проникновение подбором ключей;

Оставление нарушителя на объекте до его закрытия;

Свободный доступ нарушителя на объект в связи с временным нарушением целостности здания из-за влияния природно-техногенных факторов или в период проведения ремонта;

Проникновение через ограждение, используя подкоп, перелаз, разрушение, прыжок с шестом и т.д.

Очевидно, что каждый тип нарушителей будет осуществлять проникновение на объект по разному - менее грамотно или более грамотно, используя различные условия, способствующие проникновению, как то:

Разбойное нападение;

Наводнение;

Химическое заражение;

Общественные беспорядки;

Отключение электроэнергии на объекте, в районе, городе;

Постановка нарушителем помех ТСО на объекте;

Постановка нарушителем помех в канале связи объекта с охраной;

Предварительный вывод из строя ТСО на объекте;

Предварительный вывод из строя канала связи объекта с охраной;

Предварительный сговор нарушителя с персоналом объекта;

Предварительный сговор нарушителя с персоналом службы охраны объекта;

Создание и использование многих и многих других условий для проникновения на охраняемый объект, например: использование дрессированных животных и птиц, специальных технических средств обхода ТСО, специальных технических средств для предварительного изучения объекта и т.д.

Ряд моделей действий нарушителей достаточно широко представлены в художественной литературе, кинофильмах, в телепередачах с криминальными сюжетами, в научно-технических изданиях в открытой печати. Таким образом, потенциальному злоумышленнику вполне доступно повышение квалификации на материалах открытой печати, телепередач и кино. Этот неоспоримый факт, безусловно, должна в своей деятельности учитывать СБ и соответственно строить тактику охраны учреждения. Очевидно, информация о тактике охраны является строго конфиденциальной, секретной и совершенно секретной.

В зависимости от поставленных целей злоумышленник создает те или иные условия для проникновения на объект и в его помещения, пользуясь теми или иными контактными или бесконтактными способами проникновения.

К контактным способам совершения враждебных действий относятся:

1. Контактное проникновение на объект охраны:

Несанкционированное проникновение на территорию 00;

Проход на основе маскировки;

Установка средств негласного слухового, визуального, электромагнитного и др. наблюдения.

2. Контактное нарушение целостности или характера функционирования объекта:

Нарушение линий жизнеобеспечения 00;

Физическая ликвидация потенциала 00;

Затруднение штатного режима функционирования объекта.

К бесконтактным способам совершения враждебных действий относятся:

1. Бесконтактные проникновения на объект охраны:

Перехват физических полей;

Контроль радио- и телефонных переговоров;

Визуальное и слуховое наблюдение;

2. Вывод объекта из строя без проникновения на него, как то:

Нарушение целостности объекта посредством использования направленного взрыва или дистанционного оружия;

Отключение линий жизнеобеспечения объекта.

Нарушителем считается лицо, нарушающее контрольно-пропускной режим, случайно или преднамеренно нарушающее режим безопасности объекта охраны.

Для описания моделей нарушителей в качестве критериев классификации рассматриваются:

1. Цели и задачи вероятного нарушителя:

Проникновение на охраняемый объект без причинения объекту видимого ущерба;

Причинение ущерба объекту;

Освобождение спецконтингента;

Преднамеренное проникновение при отсутствии враждебных намерений;

Случайное проникновение.

2. Степень принадлежности вероятного нарушителя к объекту:

Вероятный нарушитель - сотрудник охраны;

Вероятный нарушитель - сотрудник учреждения;

Вероятный нарушитель - посетитель;

Вероятный нарушитель - постороннее лицо.

3. Степень осведомленности вероятного нарушителя об объекте:

Детальное знание объекта;

Осведомленность о назначении объекта, его внешних признаках и чертах;

4. Степень осведомленности вероятного нарушителя о системе охраны объекта:

Полная информация о системе охраны объекта;

Информация о системе охраны вообще и о системе охраны конкретного объекта охраны;

Информация о системе охраны вообще, но не о системе охраны конкретного объекта;

Неосведомленный вероятный нарушитель.

5. Степень профессиональной подготовленности вероятного нарушителя:

Специальная подготовка по преодолению систем охраны;

Вероятный нарушитель не имеет специальной подготовки по преодолению систем охраны.

6. Степень физической подготовленности вероятного нарушителя:

Специальная физическая подготовка;

Низкая физическая подготовка.

7. Владение вероятным нарушителем способами маскировки:

Вероятный нарушитель владеет способами маскировки;

Вероятный нарушитель не владеет способами маскировки.

8. Степень технической оснащенности вероятного нарушителя:

Оснащен специальной техникой для преодоления системы охраны;

Оснащен стандартной техникой;

Не оснащен техническими приспособлениями.

9. Способ проникновения вероятного нарушителя на объект:

Использование негативных качеств личного состава охраны объекта;

- "обход" технических средств охраны;

Движение над поверхностью земли;

Движение по поверхности земли.

На основе изложенных критериев можно выделить четыре категории нарушителя:

Нарушитель первой категории - специально подготовленный по широкой программе, имеющий достаточный опыт нарушитель-профессионал с враждебными намерениями, обладающий специальными знаниями и средствами для преодоления различных систем защиты объектов;

Нарушитель второй категории - непрофессиональный нарушитель с враждебными намерениями, действующий под руководством другого субъекта, имеющий определенную подготовку для проникновения на конкретный объект;

Нарушитель третьей категории - нарушитель без враждебных намерений, совершающий нарушение безопасности объекта из любопытства или из каких-то иных личных намерений;

Нарушитель четвертой категории - нарушитель без враждебных намерений, случайно нарушающий безопасность объекта.

В принципе под моделью нарушителя понимается совокупность количественных и качественных характеристик нарушителя, с учетом которых определяются требования к комплексу инженерно-технических средств охраны и/или его составным частям.

Существуют определенные методики количественной оценки вероятностей обнаружения нарушителя, пытающегося проникнуть на объект охраны. Здесь учитываются гамма параметров, характеризующих категорию важности объекта, конфигурацию, архитектуру и тактико-технические характеристики применяемых в КТСО ТСОС, ТСН, СКД, а также количественных и качественных характеристик нарушителя и возможных моделей его действия.

Вопросы классификации угроз информационной безопасности

В системе обеспечения безопасности объектов одно из ведущих мест занимает обеспечение информационной безопасности. Действительно, любой потенциальный нарушитель до проникновения на объект и проведения преступных действий проводит в зависимости от поставленных им конечных целей более или менее глубокую разведку с тем, чтобы обезопасить себя и выполнить поставленную преступную задачу. Поэтому защита от посторонних лиц жизненно важной информации об объекте, а также информации о системе обеспечения охранной деятельности является наиболее приоритетной задачей, от успешного решения которой зависит уровень эффективности защиты объекта в целом.

Проблемы защиты информации решаются в каждом из блоков задач, рассматриваемых системной концепцией обеспечения комплексной безопасности объекта, и в каждом блоке эти проблемы решаются своими способами и методами, хотя имеются и некоторые общие особенности.

В каждом случае работа СБ начинается с моделирования потенциальных угроз безопасности информации, их классификации и выбора адекватных угрозам мер информационной защиты.

Рассмотрим для примера вопросы классификации угроз при решении проблем обеспечения безопасности автоматизированных систем обработки информации, т.е. ПЭВМ, ЛВС, серверов баз данных и т.д. и их информационного и программного обеспечения.

В большинстве случаев нарушения по НСД к АСОИ исходят от самих сотрудников учреждений. Потери в денежном выражении составляют от них около 70%, остальные потери приходятся на хакеров, террористов и т.п.

Можно выделить три основные причины внутренних нарушений: безответственность, самоутверждение и корыстный интерес пользователей АСОИ. Кроме того существуют угрозы, исходящие от хакеров и иных нарушителей извне.

Есть опасность нанесения ущерба и не по злому умыслу, когда сотрудник учреждения, имеющий доступ к базам данных ЛВС или ПЭВМ обладает малой квалификацией, невнимателен, недисциплинирован, неряшлив в соблюдении технологии обработки информации или в пользовании программными продуктами, либо просто утомлен, омрачен какими-то личными переживаниями, что также приводит к невнимательности. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Предусмотреть все такие ситуации маловероятно. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения. Иногда ошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения. Система защиты может быть также неправильно настроена.

О самоутверждении. Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, ведя своего рода игру "пользователь - против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя при этом намерения могут быть и безвредными, эксплуатация ресурсов АСОИ считается нарушением политики безопасности. Пользователи с "более криминальными намерениями" могут найти конфиденциальные данные, попытаться испортить или уничтожить их. Такой вид нарушений называется зондированием системы. Большинство систем имеет ряд средств противодействия подобным "шалостям".

Нарушение безопасности АСОИ может быть вызвано и корыстным "злоумышленником". Под "злоумышленником" понимается человек, обладающий достаточными знаниями в вопросах автоматизированной обработки информации, преследующий цели сознательного воздействия, направленного на кражу секретной информации о деятельности учреждения, его планах, процедурах проведения операций, организации системы охраны и т.д., т.е. той информации, которая позволит злоумышленнику в конце концов осуществить кражу средств, материальных или финансовых, или дезорганизовать деятельность учреждения. В этом случае он целенаправленно пытается преодолеть систему защиты от несанкционированного доступа к хранимой, передаваемой и обрабатываемой в АСОИ информации. Полностью защититься от таких проникновений практически невозможно. В какой-то мере утешает лишь то, что опаснейшие нарушения встречаются крайне редко, ибо требуют необычайного мастерства и упорства от злоумышленника, и его злонамеренное действие при грамотно организованной системе контроля может быть обнаружено, т.е. вероятность проведения таких акций против АСОИ может быть существенно снижена.

Приведем некоторые данные о количестве и объеме угроз для безопасности со стороны корыстных злоумышленников.

Итальянские психологи утверждают, что из всех служащих любой фирмы 25% - это честные люди, 25% - ожидают удобного случая для разглашения секретов и 50% будут действовать в зависимости от обстоятельств.

В 1994 г. трое репортеров лондонской газеты "Санди Тайме" провели эксперимент. Представляясь бизнесменами, они вышли на двадцать депутатов британского парламента с предложением направить в правительство запрос, в котором они заинтересованы, и получить за это наличными или чеком тысячу фунтов стерлингов. Из двадцати 17 сразу отказались, трое согласились. Аналогичные эксперименты проводила ФБР в начале 80-х гг.: агенты ФБР под видом арабских шейхов обращались к членам американского конгресса, предлагая им вознаграждение в десятки тысяч долларов за то, чтобы "шейхам" были устроены всякие поблажки.

Если эти закономерности перенести, например, на банковских служащих, то более чем от 10% персонала можно ожидать неприятностей, связанных с продажей секретной информации.

Очевидно, ущерб от каждого вида нарушений зависит от частоты их появления и ценности информации. Чаще всего встречаются нарушения, вызванные халатностью и безответственностью, но ущерб от них обычно незначителен и легко восполняется. Например, во многих системах существуют средства, позволяющие восстанавливать случайно уничтоженные наборы данных при условии, что ошибка сразу же обнаружена. Регулярное архивирование рабочих файлов данных, имеющих важное значение, позволяет существенно уменьшить ущерб от их потери.

Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже, ибо для таких действий необходимы достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь вводит АСОИ в состояние неразрешимого противоречия, после чего операторы и системные программисты тратят много времени для восстановления работоспособности системы. К примеру, в скандальной истории с вирусом Морриса в сети Internet, бывшей результатом зондирования системы, ущерб исчислялся миллионами долларов.

Отличительной чертой проникновений, наиболее редких, но и наиболее опасных нарушений, обычно является определенная цель: доступ к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для осуществления подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, только в усиленном варианте, а также иметь точно сформулированную цель. Ущерб от проникновений может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций, т.е. если с какого-то счета сняты деньги, то они должны быть записаны в другом счете.

Причины, побуждающие пользователя совершать нарушения или даже преступления, различны. Наиболее серьезный ущерб системе угрожает в случае умышленного воздействия из-за обиды, неудовлетворенности своим служебным и/или материальным положением, или по указанию других лиц, под угрозой шантажа. Шантаж, как одно из средств нелегального доступа к ценной информации, используется преступными организациями, проводящими для этого специальные мероприятия по дискредитации ответственных работников учреждения. Ущерб при этом тем больше, чем выше положение пользователя в служебной иерархии.

Способы предотвращения ущерба в этом случае вытекают из природы причин нарушений и преступлений. Это - соответствующая подготовка пользователей, поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Ясно, что это не только задачи администрации и детективной группы, но и коллектива в целом. Сочетание этих мер способно предотвратить сами причины нарушений и преступлений.

Таким образом, наиболее уязвимым с позиции обеспечения безопасности может стать "человеческий фактор", т.е. недисциплинированность сотрудников, недостаточный профессионализм, возможность подкупа, шантажа, угроз насилия, обиды по поводу неадекватной оценки труда и многое другое. Более детальное описание методов противодействия такого рода угрозам изложены, например, в. Отметим лишь, что коль скоро такие угрозы существуют, следует рекомендовать проведение соответствующих тщательных исследований детективной группой, отделом кадров и администрацией с привлечением профессиональных психологов, психоаналитиков, педагогов и соответствующих технических средств.

Очевидно, что для выбора оптимального варианта нейтрализации действий злоумышленника из известных методов, способов и средств противодействия нужно знать, что собой представляют возможные нарушения и злоумышленник, т.е. нужны модели нарушений, "модель" нарушителя или "модель" его возможных действий. Исследование моделей нарушителей является отправной идеей в разработке стратегии и тактики обеспечения безопасности АСОИ. В самом деле, для выбора средств защиты нужно ясно представлять, от кого защищать АСОИ.

Например, возможен такой подход: на основе доступности компонентов программного и информационного обеспечения в табл.1.1 представлены типы угроз и лица, которые могли бы вызвать такие угрозы.

При создании модели нарушителя и оценке риска потерь от действий персонала дифференцируют всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.

Приведем примерный список персонала типичной АСОИ и соответствующую степень риска от каждого из них:

1. Наибольший риск:

Системный контролер;

Администратор безопасности.

2. Повышенный риск:

Оператор системы;

Оператор ввода и подготовки данных;

Менеджер обработки;

Системный программист.

3. Средний риск:

Инженер системы;

Менеджер программного обеспечения.

4. Ограниченный риск:

Прикладной программист;

Инженер или оператор по связи;

Администратор баз данных;

Инженер по оборудованию;

Оператор периферийного оборудования;

Библиотекарь системных магнитных носителей;

Пользователь-программист;

Пользователь-операционист.

5. Низкий риск:

Инженер по периферийному оборудованию;

Библиотекарь магнитных носителей пользователей.

Итак, при проектировании системы защиты АСОИ следует уделять внимание не только возможным объектам нарушений, но и вероятным нарушителям как личностям. Многолетний опыт функционирования тысяч АСОИ свидетельствует, что совершаемые без причины, а в силу случайных обстоятельств преступления очень редки.

На основе изложенных пояснений сути рассматриваемой проблемы моделирования угроз, нарушителей и их действий можно предложить следующий подход к классификации угроз безопасности АСОИ.

Отметим, что попытки дать исчерпывающую классификацию угроз безопасности АСОИ предпринимались неоднократно, однако список их постоянно расширяется, и потому в данном учебном пособии выделим лишь основные их типы.

Проводимая ниже классификация охватывает только умышленные угрозы безопасности АСОИ, оставляя в стороне такие воздействия как стихийные бедствия, сбои и отказы оборудования и др. Реализацию угрозы принято называть атакой.

Угрозы безопасности можно классифицировать по следующим признакам:

1. По цели реализации угрозы. Атака может преследовать следующие цели:

Нарушение конфиденциальности информации;

Нарушение целостности информации;

Нарушение работоспособности АСОИ. Такие нарушения могут повлечь за собой неверные результаты, отказы от обработки потока информации или отказы при обслуживании.

2. По принципу воздействия на АСОИ:

С использованием доступа субъекта системы к объекту;

С использованием скрытых каналов.

Субъектом доступа называется лицо или процесс, действия которого регламентируются правилами разграничения доступа, а объектом доступа - единица информационного ресурса АСОИ, доступ к которой регламентируется правилами разграничения доступа.

Под доступом понимается взаимодействие между субъектом и объектом, приводящее к возникновению информационного потока от второго к первому.

Под скрытым каналом понимается путь передачи информации, позволяющий двум взаимосвязанным процессам обмениваться информацией таким способом, который нарушает системную политику безопасности. Скрытые каналы бывают двух видов:

Скрытые каналы с памятью, позволяющие осуществлять чтение или запись информации другого процесса непосредственно или с помощью промежуточных объектов для хранения информации;

Скрытые временные каналы, при которых один процесс может получать информацию о действиях другого, используя интервалы между какими-либо событиями.

3. По характеру воздействия на АСОИ. Различают активное и пассивное воздействие.

Первое всегда связано с выполнением пользователем каких-либо действий, выходящих за рамки его обязанностей и нарушающих существующую политику безопасности. Это может быть доступ к наборам данных, программам, вскрытие пароля и т.д.

Пассивное воздействие осуществляется путем наблюдения пользователем каких-либо побочных эффектов и их анализа. Пример - прослушивание линии связи между двумя узлами сети. Пассивное воздействие всегда связано только с нарушением конфиденциальности информации в АСОИ, так как при нем никаких действий с объектами и субъектами не производится.

4. По факту наличия возможной для использования ошибки защиты. Реализация любой угрозы возможна только в том случае, если в данной конкретной системе есть какая-либо ошибка или брешь защиты.

Такая ошибка может быть обусловлена одной из следующих причин:

Неадекватностью политики безопасности реальной АСОИ. В той или иной степени несоответствия такого рода имеют все системы, но в одних случаях это может привести к нарушениям, а в других - нет. Если выявлена опасность такого несоответствия, необходимо усовершенствовать политику безопасности, изменив соответственно средства защиты;

Ошибками административного управления, под которыми понимают некорректную реализацию или поддержку принятой политики безопасности в данной АСОИ. Пусть, например, согласно политике безопасности в АСОИ должен быть запрещен доступ пользователей к некоторому определенному набору данных, а на самом деле этот набор данных доступен всем пользователям. Обнаружение и исправление такой ошибки требуют обычно небольшого времени, тогда как ущерб от нее может быть огромен;

Ошибками в алгоритмах программ, в связях между ними и т.д., которые возникают на этапе проектирования программ или комплекса программ и из-за которых эти программы могут быть использованы совсем не так, как описано в документации. Такие ошибки могут быть очень опасны, к тому же их трудно найти, а для устранения надо менять программу или комплекс программ;

Ошибками реализации алгоритмов программ, связей между ними и т.д., которые возникают на этапах реализации, отладки и могут служить источником недокументированных свойств.

5. По способу воздействия на объект атаки:

Непосредственное воздействие на объект атаки, например, непосредственный доступ к набору данных, программе, службе, каналу связи и т.д., воспользовавшись какой-либо ошибкой. Такие действия обычно легко предотвратить с помощью средств контроля доступа;

Воздействие на систему разрешений. При этом несанкционированные действия выполняются относительно прав пользователей на объект атаки, а сам доступ к объекту осуществляется потом законным образом;

Опосредованное воздействие:

- "маскарад". В этом случае пользователь присваивает себе каким-либо образом полномочия другого пользователя, выдавая себя за него;

- "использование вслепую". При таком способе один пользователь заставляет другого выполнить необходимые действия, причем последний о них может и не подозревать. Для реализации этой угрозы может использоваться вирус.

Два последних способа очень опасны. Для предотвращения подобных действий требуется постоянный контроль как со стороны администраторов и операторов за работой АСОИ в целом, так и со стороны пользователей за своими собственными наборами данных.

6. По способу воздействия на АСОИ:

В интерактивном режиме;

В пакетном режиме.

Работая с системой, пользователь всегда имеет дело с какой-либо ее программой. Одни программы составлены так, что пользователь может оперативно воздействовать на ход их выполнения, вводя различные команды или данные, а другие так, что всю информацию приходится задавать заранее. К первым относятся, например, некоторые утилиты, управляющие программы баз данных, в основном - это программы, ориентированные на работу с пользователем. Ко вторым относятся в основном системные и прикладные программы, ориентированные на выполнение каких-либо строго определенных действий без участия пользователя.

При использовании программ первого класса воздействие оказывается более длительным по времени и, следовательно, имеет более высокую вероятность обнаружения, но более гибким, позволяющим оперативно менять порядок действий. Воздействие с помощью программ второго класса является кратковременным, трудно диагностируемым, гораздо более опасным, но требует большой предварительной подготовки для того, чтобы заранее предусмотреть все возможные последствия вмешательства.

7. По объекту атаки. Объект атаки - это тот компонент АСОИ, который подвергается воздействию со стороны злоумышленника. Воздействию могут подвергаться следующие компоненты АСОИ:

АСОИ в целом: злоумышленник пытается проникнуть в систему для последующего выполнения каких-либо несанкционированных действий. Используют обычно "маскарад", перехват или подделку пароля, взлом или доступ к АСОИ через сеть;

Объекты АСОИ - данные или программы в оперативной памяти или на внешних носителях, сами устройства системы, как внешние, так и внутренние, каналы передачи данных. Воздействие на объекты системы обычно имеет целью доступ к их содержимому или нарушение их функциональности;

Субъекты АСОИ - процессы и подпроцессы пользователей. Целью таких атак является либо прямое воздействие на работу процессора - его приостановка, изменение характеристик, либо обратное воздействие - использование злоумышленником привилегий, характеристик другого процесса в своих целях. Воздействие может оказываться на процессы пользователей, системы, сети;

Каналы передачи данных. Воздействие на пакеты данных, передаваемые по каналу связи, может рассматриваться как атака на объекты сети, а воздействие на сами каналы - как специфический род атак, характерный для сети. К последним относятся: прослушивание канала и анализ графика; подмена или модификация сообщений в каналах связи и на узлах-ретрансляторах; изменение топологии и характеристик сети, правил коммутации и адресации.

8. По используемым средствам атаки. Для воздействия на систему злоумышленник может использовать стандартное программное обеспечение или специально разработанные программы. В первом случае результаты воздействия обычно предсказуемы, так как большинство стандартных программ АСОИ хорошо изучены. Использование специально разработанных программ связано с большими трудностями, но может быть более опасным, поэтому в защищенных системах рекомендуется не допускать добавления программ в АСОИ без разрешения администратора безопасности системы.

9. По состоянию объекта атаки. Состояние объекта в момент атаки весьма существенно для результатов атаки и содержания работы по ликвидации ее последствий.

Объект атаки может находиться в одном из трех состояний:

Хранения на диске, магнитной ленте, в оперативной памяти или в любом другом месте в пассивном состоянии. При этом воздействие на объект обычно осуществляется с использованием доступа;

Передачи по линии связи между узлами сети или внутри узла, Воздействие предполагает либо доступ к фрагментам передаваемой информации, либо просто прослушивание с использованием скрытых каналов;

Обработки в тех ситуациях, когда объектом атаки является процесс пользователя.

Приведенная классификация показывает сложность определения возможных угроз и способов их реализации.

Более подробно распространенные угрозы безопасности АСОИ рассмотрены, например, в.

В связи с тем, что универсального способа защиты, который мог бы предотвратить любую угрозу, не существует, для обеспечения безопасности АСОИ в целом создают защитную систему, объединяя в ней различные меры защиты.

Изложенный далеко не полно пример решения проблемы классификации угроз информационной безопасности АСОИ убеждает в необходимости проведения глубоких исследований при решении аналогичных проблем в контуре всех иных блоков задач "Системной концепции...".

Утечка охраняемой информации обычно становится возможной вследствие совершения нарушений режима работы с конфиденциальной информацией. Каналы утечки информации в информационных системах обработки конфиденциальных данных разобьем на группы.

К первой группе относят каналы, образующиеся за счет дистанционного скрытого видеонаблюдения или фотографирования, применения подслушивающих устройств, перехвата электромагаитных излучений и наводок и так далее.

Во вторую группу включают наблюдение за информацией в процессе обработки с целью ее запоминания, хищение ее носителей, сбор производственных отходов, содержащих обрабатываемую информацию, преднамеренное считывание данных из файлов других пользователей, чтение остаточной информации, то есть данных, остающихся на магнитных носителях после выполнения заданий, и так далее.

К третьей группе относят незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи, злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации, злоумышленный вывод из строя механизмов защиты.

К четвертой группе относят несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб, сотрудников, знакомых, обслуживающего персона или родственников, знающих о роде деятельности.

Также необходимо отметить, что низкий уровень конфиденциальности в первую очередь связан с нарушениями в организации пропускного режима. Эти нарушения могут быть результатом реализации угрозы «Подкуп персонала», которая реализуется через уязвимость «Мотивированность персонала на совершение деструктивных действий». Уровень данной уязвимости может быть снижен путем соответствующей работы с персоналом и путем усиления контроля за работой сотрудников.

На уровень целостности и доступности наибольшее влияние оказывают также повреждения каналов передачи данных. К этим повреждениям может привести сбой, который, в свою очередь, может произойти из-за низкой надежности каналов. Повысить надежность можно путем усиления работы службы технической поддержки и путем заземления основного и вспомогательного оборудования, используемого при обработке информации.

Эти данные послужат основанием для разработки рекомендаций по усилению мер, направленных на обеспечение конфиденциальности, целостности и доступности информации. Необходимо усилить контроль над работой сотрудников, провести тренинги для сотрудников, посвященные ИБ; заземлить основное и вспомогательное оборудование, используемое при обработке информации; усилить специалистами службы технической поддержки и внести изменения в должностные инструкции работников данной службы.

Реализация указанных превентивных мер защиты, а также ликвидация существующих повреждений позволят повысить уровень конфиденциальности, целостности и доступности до состояния ВС.

Модель нарушителя информационной безопасности неразрывно связана с моделью угроз информационной безопасности, т.к. нарушитель информационной безопасности часто является как источником угроз, так и следствием.

1. Внутренний нарушитель

К данному типу нарушителя могут быть отнесены различные категории персонала самого объекта защиты, к ним можно отнести следующих сотрудников Чебанов А.С., Жук Р.В., Власенко А.В., Сазонов С.Ю. Модель нарушителя комплексной системы обеспечения информационной безопасности объектов защиты //Известия Юго-Западного государственного университета. Серия: Управление, вычислительная техника, информатика. Медицинское приборостроение. 2013. № 1. С. 171-173.:

  • - лица, имеющие санкционированный доступ к максимальному объему информации (уполномоченные сотрудники, такие как начальство, управляющий состав). Под данную категорию попадает практически весь персонал объекта защиты;
  • - лица, имеющие санкционированный доступ к определенному объему информации (сотрудники структурных подразделений);
  • - лица, имеющие санкционированные доступ к максимальному объему (администраторы автоматизированных систем) или определенному объему (сотрудники отделов информационных технологий, программисты) информации в процессе обеспечения работоспособности и функционирования информационных систем.

Необходимо понимать, что администратор информационной безопасности имеет различные права и возможности по сравнению с администратором информационной системы. Стоит учитывать тот факт, что, несмотря на тип нарушителя «Внутренний», все сотрудники, определенные в нем, могут иметь удаленный доступ к ресурсам объекта информатизации.

По способам воздействия внутренний нарушитель может быть разделен на две категории:

Случайный (непреднамеренный).

Данный нарушитель зачастую даже не предполагает о причинённом ущербе в случае своих действий. Под категорию случайного нарушителя может попадать одновременно весь персонал объекта защиты, независимо, имеет ли он прямой доступ к информации либо осуществляет косвенную деятельность, связанную с поддержанием функционирования информационных систем объекта защиты. Можно выделить несколько примеров, таких как:

  • -обслуживающий персонал помещений;
  • -сотрудники одного из структурных подразделений;
  • -персонал, обслуживающий информационные ресурсы объекта информатизации и т.д.
  • - Инсайдер (заинтересованное лицо).

Опасность, которую несет в себе данная категория нарушителя, в том, что ущерб от его действий может достигать достаточно внушительных размеров. В отличие от случайного нарушителя, он сложно идентифицируем и может осуществлять свою деятельность долгое время.

На сегодняшний момент существуют различные концепции по описанию инсайдеров на предприятии, по разбиению состава сотрудников на группы риска, но большинство инсайдеров делятся на сотрудников Ажмухамедов И.М. Системный анализ и оценка уровня угроз информационной безопасности //Вопросы защиты информации. 2013. № 2 (101). С. 81-87.:

  • - заинтересованных в оплате предоставляемой информации об объекте защиты;
  • - имеющих личные мотивы по отношению к компании - объекту защиты.

Наряду с данной классификацией имеется еще одна особенность, применимая как к внутреннему, так и к внешнему нарушителю, - наличие возможностей.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны объекта защиты режимных и организационно-технических мер защиты, в том числе по допуску физических лиц с информационными ресурсами и контролю порядка проведения работ на объекте защиты.

2. Внешний нарушитель

Это наиболее распространенный вид нарушителя. На регламентирование построения комплексной системы защиты информации и применение средств защиты информации направлено большинство существующих нормативных документов Российской Федерации.

В основном к данному виду можно отнести следующих представителей:

  • -правоохранительные органы и органы исполнительной власти Российской Федерации;
  • -конкуренты;
  • -криминальные структуры;
  • -физические лица, непосредственно занимающиеся анализом информационной безопасности объекта защиты.

Основными критериями деления внешних нарушителей на категории являются:

  • - возможность доступа к каналам связи, выходящим за границы контролируемой зоны объекта защиты (всевозможные излучения, оптический канал, линии передачи информации);
  • - возможность доступа в пределы контролируемой зоны объекта защиты (санкционированный доступ, несанкционированный доступ путем маскировки и т.д.);
  • - наличие информации об объекте защиты;
  • - имеющиеся средства реализации атак на объект защиты (сканеры уязвимости, подавители сигнала и т.д.).

Попытка реализовать несанкционированный доступ к информационным сетям с целью что ли бо сделать с данными в сети есть компьютерное пиратство . Прослеживая это социальное явление есть тенденция к стремительному росту атак на информационные сети. Компьютерных злоумышленников не интересует как хорошо реализован контроль информационной системы, они ищут одну лазейку которая даст им нужную цель. Используя разные факторы они реализуют преступления, которые как считают они, легче чем ограбление банка в живую. При этом могут быть использованы методы вымогательства или взяточничества. Мало предприятий, где высшее руководство верит в то, что их предприятие может понести убытки из-за хакеров, а еще меньше которые интересовались вопросом и . Множество менеджеров под воздействием информационных волн считают, что нарушители это школьники, и против них нужно бороться. В зависимости от целей или мотивов, действия нарушителя делят на:

  • Идейные хакеры.
  • Искатели приключений.
  • Хакеры — профессионалы.
  • Ненадежные сотрудники.

Искатель приключений , он обычно молодой студент или школьник, без продуманного плана реализации атак. Выбирает случайную цель. Идейный хакер — Он выбирает конкретные цели. Свои достижения рассказывает широкой аудитории или размещает данные на веб ресурсах. Хакер-профессионал — человек с четким планом действий. Атаки продуманы в несколько этапов. Сбор информации и сам взлом. Обычно такие люди финансируются для целей, которые ему не свойственны, но ему платят. Ненадежный сотрудник — его действие могут иметь большие последствия, так как он доверенное лицо системы. Ему не нужно выдумывать сложные атаки для реализации своей цели. Еще одна модель нарушителя показана на рис.1.

Рисунок — 1

Также у служащих, можно выделить следующие мотивы для помощи злоумышленникам:

  • Реакция на замечание или выговор от руководителя.
  • Недовольство действиями руководства.

Руководитель как неудовлетворяющий сотрудника, одна из самых больших угроз в системе коллективного пользования.

Компьютерные атаки обычно сильно спланированы и реализуются со знанием сферы деятельности. Мотивом нарушения обычно есть деньги. Все злоумышленники пытаются свести свой риск к минимуму. В современных информационных системах, где очень сложные системы защиты и других методов совершения транспортировки информации, существует дополнительный риск, что с изменением одного элемента системы может привести к сбою работы других элементов. Многие года шпионаж реализуется как метод, которые вынуждает идти сотрудников за минимальное вознаграждение.

Модель

Модель вероятного нарушителя ИС нужна для систематизации данных о возможностях и типах субъектов, целях несанкционированных воздействиях и выработки адекватных организационных и технических методов противодействия. При разработке модели нарушителя ИС нужно учитывать:

  • Категории лиц, к которым можно отнести нарушителя.
  • Цели, градации по степени опасности и важности.
  • Анализ его технической мощности.
  • Предположения и ограничения о характере действий.

По наличию права разового или постоянного доступа нарушители делятся на два типа: нарушители которые используют внешние угрозы и нарушители которые имеют доступ к ИС и используют внутренние угрозы. В таблице 1 наведены категории лиц которые могут использовать или внешние угрозы.

На предприятиях с целью уменьшения вероятности в разные части предприятия, реализован метод создания рубежей защиты. Территория предприятия делится на несколько зон, которые ранжированные по степени секретности и уровня доступа. В итоге имеет возможность для разграничения доступа к важным информационным ресуарсам. Примером может быть рис. 2.

Рисунок — 2

В таблице наведены группы внутренних нарушителей относительно рубежей защиты предприятия и возможности доступа.

# Обозначение Рубеж Характеристика нарушителя Возможности
1 M 1 Территория объекта, телекоммуникации Лица которые имеют санкционированный доступ на территорию, но не имеют доступ в здания и помещения Разрешает несанкционированный доступ к каналам связи, которые уходят за пределы здания. Перехват данных по техническим каналам
2 M 2 Здания объекта, телекоммуникации Лица имеют санкционированный доступ на территорию, здания но не имеют доступ в служебные помещения -//-, иметь информацию о размещении поста охраны, системе видеонаблюдения и помещении для приема посетителей
3 M 3 Представительские помещения, ПЭВМ, коммуникации Лица имеют доступ в специальные помещения, но не имеют доступ в служебные помещения -//-
4 M 4 Кабинеты пользователей ИС, администраторов ИС 1. Зарегистрированные пользователи ИС, имеющие ограниченный доступ к ресурсам. 2. Зарегистрированные пользователи ИС которые имеют удаленный доступ к информационной системе. 3. Зарегистрированные пользователи ИС с правами админа безопасности сегмента. 4. Зарег. пользователи с правами сис. админа ИС. 5. Зарег. пользователи с правами админа безопасности ИС. 6. Программисты-разработчики ПО. 7. Лица реализующие обслуживание ИС 1. Иметь доступ к кускам конфиденциальным данным. Иметь куски данных о топологии ИС. Вносить программно-аппаратные закладки. 2. Имеет данные о топологии сегмента, имеет физический доступ к сегментам и элементам сети. 3. Имеет полную информации о ИС. 4. Имеет всю информацию о ИС, имеет полный доступ. 5. Имеет доступ к методам защиты ИС 6. Имеет данные о алгоритмах и ПО для обработки данных в ИС 7. Имеет доступ к внесению закладок в технические средства ИС
5 M 5 Серверные, комнаты конфиденциальных переговоров, ПЭВМ 1. Зарег. польз. с правами администратора безопасности. 2. Зарег. польз. с правами сис. админа. 3. Работники которые имеют право доступа в помещения конфиденциальных переговоров 1. Имеет доступ к настройке сегмента сети. 2. Имеет санкционированный доступ в помещение, имеет свое ипя пользователи и доступ к конфигурации ИС. 3. Имеет доступ в помещение
6 M 6 Методы защиты информации Зарег. польз. сервера с правами админа безопасности ИС Имеет доступ во все помещения, имеет доступ ко всей информации о ИС

Итоги

После систематизации знаний о потенциальных нарушителей для ИС, реализуется модель безопасности информации. После построения модели угроз, определяется частота возникновения угроз. Определяя частоту реализации угроз, нужно учитывать возможности нарушителя.


- Что будет если скрестить ежа и ужа ?

- Полтора метра колючей проволоки!

Те кто уже успел изучить новые методики регуляторов по моделированию угроз, наверное заметили, что большое внимание уделяется описанию потенциального нарушителя. Например, в проекте методики моделирования угроз от ФСТЭК подробно описаны виды нарушителей и их мотивация. В банке угроз ФСТЭК, для каждой угрозы задан тип и потенциал нарушителя, который может ее реализовать. В общем, модель нарушителя перестает быть простой формальностью и начинает оказывать большое влияние на перечень актуальных угроз.

Проблема в том, что подходы двух регуляторов (ФСБ и ФСТЭК) к формированию модели нарушителя, несколько отличаются. ФСБ отвечает за регулирование в области криптографии и ее методика в основном служит для выбора класса криптосредств. Соответственно, ФСБ при описании нарушителя делает упор на возможностях нарушителя по атакам на криптосредства и среду их функционирования (СФ). Методика ФСТЭК более широкая и описывает возможности нарушителя по атакам на систему в целом.

В результате перед разработчиком модели угроз стоит выбор: либо сделать две модели нарушителя по разным методикам, либо пытаться объединить подходы обоих регуляторов в едином документе.

Поэтому обычно разрабатывается два документа: модель угроз ФСТЭК (включающая свое описание нарушителей) и, отдельно, модель нарушителя ФСБ. По крайней мере так поступали безопасники в большинстве проектов, которые я видел. Две модели нарушителя в одном проекте - это то не очень логично.

В связи с выходом новых документов ФСТЭК и ФСБ, интересно насколько сблизились подходы регуляторов к к описанию потенциальных нарушителей. Стала модель нарушителя более логичной?

Модель нарушителя по ФСТЭК

В проекте методики ФСТЭК перечислены виды нарушителей и их потенциал. Потенциал нарушителя может быть высоким, средним или низким. Для каждого из вариантов задан свой набор возможностей:

Так, нарушители с низким потенциалом могут для реализации атак использовать информацию только из общедоступных источников. К нарушителям с низким потенциалом ФСТЭК относит любых "внешних" лиц, а также внутренний персонал и пользователей системы.

Нарушители со средним потенциалом имеют возможность проводить анализ кода прикладного программного обеспечения , самостоятельно находить в нем уязвимости и использовать их. К таким нарушителям ФСТЭК относит террористические и криминальные группы, конкурирующие организации, администраторов системы и разработчиков ПО.

Нарушители с высоким потенциалом имеют возможность вносить закладки в программно-техническое обеспечение системы , проводить специальные исследования и применять спец. средства проникновения и добывания информации. К таким нарушителям ФСТЭК относит только иностранные спецслужбы.

Возможности нарушителей по ФСБ

Как уже говорилось выше, у ФСБ своя методика угроз, с криптосредствами и СФ:) В недавно вышедших методических рекомендациях приводится 6 обобщенных возможностей нарушителей:
1) Возможность проводить атаки только за пределами КЗ;
2) Возможность проводить атаки в пределах КЗ, но без физического доступа к СВТ.
3) Возможность проводить атаки в пределах КЗ, с физическим доступом к СВТ.
4) Возможность привлекать специалистов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН;
5) Возможность привлекать специалистов, имеющих опыт в области использования НДВ прикладного ПО ;
6) Возможность привлекать специалистов, имеющих опыт в области использования НДВ аппаратного и программного компонентов среды функционирования СКЗИ.

Эти возможности соответствуют классам криптосредств (СКЗИ). В зависимости от того, какую возможность мы признаем актуальной, необходимо использовать СКЗИ соответствующего класса. Подробнее это детализировано в другом документе - в приказе ФСБ №378.

Конкретных примеров нарушителей (террористы, конкуренты и т.д.) в своих новых документах ФСБ не дает. Но вспомним, что ранее были методические рекомендации ФСБ 2008 г.. В них то как раз рассказывалось о 6 типах нарушителей, которые обозначались как Н1- Н6. Возможности описанные в новых документах ФСБ соответствуют тем самым нарушителям Н1 - Н6 из старых методических рекомендаций.

Объединяем нарушителей ФСТЭК и ФСБ

Если прочесть описание возможностей нарушителя, то можно заметить, что оба регулятора уделяют внимание возможностям нарушителя по использованию НДВ. Сравнив описания нарушителей у ФСТЭК и ФСБ, получим примерно следующее:

  • Нарушители с низким потенциалом по ФСТЭК – это нарушители Н1-Н3 по классификации ФСБ;
  • Нарушитель со средним потенциалом по ФСТЭК – это нарушители Н4-Н5 по классификации ФСБ.;
  • Нарушитель с высоким потенциалом по ФСТЭК – это нарушитель Н6 по ФСБ (т.е. сотрудник иностранной технической разведки).

Таким образом, для каждого нарушителя из методики ФСТЭК можно взять вполне определенный набор свойств из методики ФСБ.

Выбираем подходящих нарушителей и избавляемся от остальных

Остается только определиться, каких нарушителей рассматривать для конкретной информационной системы. А это регулятор сам подсказывает нам, уже на этапе классификации системы.

В случае государственной информационной системы, приглядимся к п.25 приказа ФСТЭК №17. В нем сказано:

  • для информационных систем 1 класса защищенности, система защиты должна обеспечивать нейтрализацию угроз от нарушителя с высоким потенциалом;
  • для информационных систем 2 класса защищенности - нейтрализацию угроз от нарушителя со средним потенциалом;
  • для информационных систем 3 и 4 классов защищенности- нейтрализацию угроз от нарушителя с низким потенциалом.

То есть, хотя бы предварительно классифицировав систему, мы можем сделать вывод о том, какие виды нарушителей регулятор считает для нее актуальными.

Остается лишь описать данных нарушителей в модели нарушителя, а нарушителей с более высоким потенциалом исключить. Аргументы для исключения "лишних" нарушителей можно взять из приложения к методике моделирования угроз ФСБ.

В случае, если система не относится к ГИС, стоит взглянуть на три типа угроз из ПП 1119:

  • Угрозы 1-го типа - связаны с наличием НДВ в системном ПО.
  • Угрозы 2-го типа связаны с наличием НДВ в прикладном ПО.
  • Угрозы 3-го типа не связаны с наличием НДВ в ПО.

Угрозы 1 типа явно может использовать только нарушитель с высоким потенциалом. Угрозы 2 типа - нарушитель со средним потенциалом, а угрозы 3 типа - с низким. Поскольку большинство операторов рассматривают актуальными только угрозы 3 типа, то потенциал у нарушителей будет низкий.

Резюме

У новых методик ФСТЭК и ФСБ есть внятные точки соприкосновения. Грамотно комбинируя обе методики, можно разработать общую и непротиворечивую модель угроз. А заодно и снизить потенциал нарушителя и класс используемых средств защиты.

  1. Многое зависит и от класса (уровня защищенности) информационной системы. Нужно проявлять осторожность и не завышать класс без веских на то оснований. Иначе можно "попасть" на нарушителей со средним и высоким потенциалом (и получить повышенные требования к средствам защиты).
  2. Для каждого класса можно подобрать подходящих нарушителей из методики ФСТЭК (при этом обоснованно исключив остальных нарушителей).
  3. Каждый нарушитель из методики ФСТЭК соотносится с определенным типом нарушителей из методики ФСБ (а также с соответствующим классом криптосредств)
Получившаяся "картина мира" представлена в таблице.

ПП 1119

Приказ ФСТЭК №17

Проект методики определения угроз ФСТЭК

Метод. рек. ФСБ 2008

Приказ ФСБ 378


Тип

угроз

Класс ГИС и соотв. набор мер

Потенциал

нарушителя

Вид нарушителя

Обобщенные возможности нарушителя относительно СКЗИ

Тип нарушителя ФСБ

Класс

СКЗИ


3 тип

К3, К4