Видеонаблюдение
Домофоны
Системы контроля доступа
Сигнализации
Главная » Блог » Модель нарушителя информационной безопасности

Модель нарушителя информационной безопасности


2.2 Модель нарушителя информационной безопасности

Модель нарушителя информационной безопасности – это набор предположений об одном или нескольких возможных нарушителях информационной безопасности, их квалификации, их технических и материальных средствах и т. д.

Правильно разработанная модель нарушителя является гарантией построения адекватной системы обеспечения информационной безопасности. Опираясь на построенную модель, уже можно строить адекватную систему информационной защиты.

Чаще всего строится неформальная модель нарушителя, отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей: способы реализации исходящих от него угроз, место и характер действия, возможная тактика и т. п. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы.

Определив основные причины нарушений, представляется возможным оказать на них влияние или необходимым образом скорректировать требования к системе защиты от данного типа угроз. При анализе нарушений защиты необходимо уделять внимание субъекту (личности) нарушителя. Устранение причин или мотивов, побудивших к нарушению, в дальнейшем может помочь избежать повторения подобного случая.

Модель может быть не одна, целесообразно построить несколько отличающихся моделей разных типов нарушителей информационной безопасности объекта защиты.

Для построения модели нарушителя используется информация, полученная от служб безопасности и аналитических групп, данные о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадиях их передачи, обработки и хранении, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях нарушения информационной безопасности и т. п.

Кроме этого оцениваются реальные оперативные технические возможности злоумышленника для воздействия на систему защиты или на защищаемый объект. Под техническими возможностями подразумевается перечень различных технических средств, которыми может располагать нарушитель в процессе совершения действий, направленных против системы информационной защиты.

Нарушители бывают внутренними и внешними.

Среди внутренних нарушителей в первую очередь можно выделить:

  • непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней;

  • администраторов вычислительных сетей и информационной безопасности;

  • прикладных и системных программистов;

  • сотрудников службы безопасности;

  • технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до сервисного инженера;

  • вспомогательный персонал и временных работников.

Среди причин, побуждающих сотрудников к неправомерным действиям, можно указать следующие:

  • безответственность;

  • ошибки пользователей и администраторов;

  • демонстрацию своего превосходства (самоутверждение);

  • «борьбу с системой»;

  • корыстные интересы пользователей системы;

  • недостатки используемых информационных технологий.

Группу внешних нарушителей могут составлять:

  • клиенты;

  • приглашенные посетители;

  • представители конкурирующих организаций;

  • сотрудники органов ведомственного надзора и управления;

  • нарушители пропускного режима;

  • наблюдатели за пределами охраняемой территории.

Помимо этого классификацию можно проводить по следующим параметрам.

Используемые методы и средства:

  • сбор информации и данных;

  • пассивные средства перехвата;

  • использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;

  • активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и «черных ходов» в систему, подключение к каналам передачи данных.

Уровень знаний нарушителя относительно организации информационной структуры:

  • типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;

  • высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;

  • высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;

  • обладание сведениями о средствах и механизмах защиты атакуемой системы;

  • нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.

Время информационного воздействия:

  • в момент обработки информации;

  • в момент передачи данных;

  • в процессе хранения данных (учитывая рабочее и нерабочее состояния системы).

По месту осуществления воздействия:

  • удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;

  • доступ на охраняемую территорию;

  • непосредственный физический контакт с вычислительной техникой, при этом можно выделить: доступ к рабочим станциям, доступ к серверам предприятия, доступ к системам администрирования, контроля и управления информационной системой, доступ к программам управления системы обеспечения информационной безопасности.

В таблице 2.3 приведены примеры моделей нарушителей информационной безопасности и их сравнительная характеристика.

Таблица 2.3 – Сравнительная характеристика нескольких моделей нарушителя

Характеристика

Хакер-одиночка

Группа хакеров

Конкуренты

Госструктуры, спецподразделения

Вычислительная мощность технических средств

Персональный компьютер

ЛВС, использование чужих вычислительных сетей

Мощные вычислительные сети

Неограниченная вычислительная мощность

Доступ к интернету, тип каналов доступа

Модем или выделенная линия

Использование чужих каналов с высокой пропускной способностью

Собственные каналы с высокой пропускной способностью

Самостоятельный контроль над маршрутизацией трафика в Интернете

Финансовые возможности

Сильно ограничены

Ограничены

Большие возможности

Практически неограниченные

Уровень знаний в области IT

Невысокий

Высокий

Высокий

Высокий, разработчики стандартов

Используемые технологии

Готовые программы, известные уязвимости

Поиск новых уязвимостей, изготовление вредоносных программ

Современные методы проникновения в информационные системы и воздействия на потоки данных в ней

Доскональные знания информационных технологий: возможные уязвимости и недостатки

Знания о построении системы защиты объекта

Недостаточные знания о построении информационной системы

Могут предпринимать усилия для получения представления о принципах функционирования системы защиты

Могут предпринимать усилия для получения представления о принципах функционирования системы защиты, внедрять своего представителя в службу безопасности

В процессе сертификации системы представители госорганов могут получать достаточно полную информацию о ее построении

Преследуемые цели

Эксперимент

Внесение искажений в работу системы

Блокировка функционирования системы, подрыв имиджа, разорение

Непредсказуемые

Характер действий

Скрытый

Скрытый

Скрытый или открытый демонстративный

Может не утруждать себя сокрытием своих действий

Глубина проникновения

Чаще всего останавливается после первого успешного воздействия

До момента достижения поставленной цели или появления серьезного препятствия

До победного конца

Ничего не способно их остановить

модель нарушителя информационной безопасности | Защита информации

06.10.2015

Попытка реализовать несанкционированный доступ к информационным сетям с целью что ли бо сделать с данными в сети есть компьютерное пиратство. Прослеживая это социальное явление есть тенденция к стремительному росту атак на информационные сети. Компьютерных злоумышленников не интересует как хорошо реализован контроль информационной системы, они ищут одну лазейку которая даст им нужную цель. Используя разные факторы они реализуют преступления, которые как считают они, легче чем ограбление банка в живую. При этом могут быть использованы методы вымогательства или взяточничества. Мало предприятий, где высшее руководство верит в то, что их предприятие может понести убытки из-за хакеров, а еще меньше которые интересовались вопросом угрозы информационной безопасности и проблемы защиты информации в сетях. Множество менеджеров под воздействием информационных волн считают, что нарушители это школьники, и против них нужно бороться. В зависимости от целей или мотивов, действия нарушителя делят на:

  • Идейные хакеры.
  • Искатели приключений.
  • Хакеры — профессионалы.
  • Ненадежные сотрудники.

Искатель приключений, он обычно молодой студент или школьник, без продуманного плана реализации атак. Выбирает случайную цель. Идейный хакер — Он выбирает конкретные цели. Свои достижения рассказывает широкой аудитории или размещает данные на веб ресурсах. Хакер-профессионал — человек с четким планом действий. Атаки продуманы в несколько этапов. Сбор информации и сам взлом. Обычно такие люди финансируются для целей, которые ему не свойственны, но ему платят. Ненадежный сотрудник — его действие могут иметь большие последствия, так как он доверенное лицо системы. Ему не нужно выдумывать сложные атаки для реализации своей цели. Еще одна модель нарушителя показана на рис.1.

Рисунок — 1

Нарушитель, обычно специалист определенной квалификации, которые пытается узнать все о информационной системе и о средствах защиты информации.

Также у служащих, можно выделить следующие мотивы для помощи злоумышленникам:

  • Реакция на замечание или выговор от руководителя.
  • Недовольство действиями руководства.

Руководитель как неудовлетворяющий сотрудника, одна из самых больших угроз в системе коллективного пользования.

Компьютерные атаки обычно сильно спланированы и реализуются со знанием сферы деятельности. Мотивом нарушения обычно есть деньги. Все злоумышленники пытаются свести свой риск к минимуму. В современных информационных системах, где очень сложные системы защиты и других методов совершения транспортировки информации, существует дополнительный риск, что с изменением одного элемента системы может привести к сбою работы других элементов. Многие года шпионаж реализуется как метод, которые вынуждает идти сотрудников за минимальное вознаграждение.

Модель вероятного нарушителя ИС нужна для систематизации данных о возможностях и типах субъектов, целях несанкционированных воздействиях и выработки адекватных организационных и технических методов противодействия. При разработке модели нарушителя ИС нужно учитывать:

  • Категории лиц, к которым можно отнести нарушителя.
  • Цели, градации по степени опасности и важности.
  • Анализ его технической мощности.
  • Предположения и ограничения о характере действий.

По наличию права разового или постоянного доступа нарушители делятся на два типа: нарушители которые используют внешние угрозы и нарушители которые имеют доступ к ИС и используют внутренние угрозы. В таблице 1 наведены категории лиц которые могут использовать внутренние или внешние угрозы.

Тип нарушителя Категории лиц
Внешний криминальные структуры; посетители; Разведывательные службы государств; лица, случайно или умышленно нарушившие пропускной режим; любые лица за пределами контролируемой территории.
Внутренний персонал, обслуживающий технические средства (инженеры, техники); сотрудники отделов; администраторы ИС; сотрудники службы безопасности; руководители различных уровней должностной иерархии.

На предприятиях с целью уменьшения вероятности несанкционированного доступа в разные части предприятия, реализован метод создания рубежей защиты. Территория предприятия делится на несколько зон, которые ранжированные по степени секретности и уровня доступа. В итоге имеет возможность для разграничения доступа к важным информационным ресуарсам. Примером может быть рис. 2.

Рисунок — 2

В таблице наведены группы внутренних нарушителей относительно рубежей защиты предприятия и возможности доступа.

# Обозначение Рубеж Характеристика нарушителя Возможности
1 M1 Территория объекта, телекоммуникации Лица которые имеют санкционированный доступ на территорию, но не имеют доступ в здания и помещения Разрешает несанкционированный доступ к каналам связи, которые уходят за пределы здания. Перехват данных по техническим каналам
2 M2 Здания объекта, телекоммуникации Лица имеют санкционированный доступ на территорию, здания но не имеют доступ в служебные помещения -//-, иметь информацию о размещении поста охраны, системе видеонаблюдения и помещении для приема посетителей
3 M3 Представительские помещения, ПЭВМ, коммуникации Лица имеют доступ в специальные помещения, но не имеют доступ в служебные помещения -//-
4 M4 Кабинеты пользователей ИС, администраторов ИС 1. Зарегистрированные пользователи ИС, имеющие ограниченный доступ к ресурсам. 2. Зарегистрированные пользователи ИС которые имеют удаленный доступ к информационной системе. 3. Зарегистрированные пользователи ИС с правами админа безопасности сегмента. 4. Зарег. пользователи с правами сис. админа ИС. 5. Зарег. пользователи с правами админа безопасности ИС. 6. Программисты-разработчики ПО. 7. Лица реализующие обслуживание ИС 1. Иметь доступ к кускам конфиденциальным данным. Иметь куски данных о топологии ИС. Вносить программно-аппаратные закладки. 2. Имеет данные о топологии сегмента, имеет физический доступ к сегментам и элементам сети. 3. Имеет полную информации о ИС. 4. Имеет всю информацию о ИС, имеет полный доступ. 5. Имеет доступ к методам защиты ИС 6. Имеет данные о алгоритмах и ПО для обработки данных в ИС 7. Имеет доступ к внесению закладок в технические средства ИС
5 M5 Серверные, комнаты конфиденциальных переговоров, ПЭВМ 1. Зарег. польз. с правами администратора безопасности. 2. Зарег. польз. с правами сис. админа. 3. Работники которые имеют право доступа в помещения конфиденциальных переговоров 1. Имеет доступ к настройке сегмента сети. 2. Имеет санкционированный доступ в помещение, имеет свое ипя пользователи и доступ к конфигурации ИС. 3. Имеет доступ в помещение
6 M6 Методы защиты информации Зарег. польз. сервера с правами админа безопасности ИС Имеет доступ во все помещения, имеет доступ ко всей информации о ИС

После систематизации знаний о потенциальных нарушителей для ИС, реализуется модель безопасности информации. После построения модели угроз, определяется частота возникновения угроз. Определяя частоту реализации угроз, нужно учитывать возможности нарушителя.

Модель нарушителей безопасности

Четвертая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

4.1 Описание возможных нарушителей (типы и виды нарушителей)

Типы нарушителей определялись по результатам анализа прав доступа субъектов к информации и к компонентам АС, а также анализа возможностей нарушителей по доступу к компонентам АС исходя из структурно-функциональных характеристик и особенностей функционирования АС.

Анализ прав доступа производился, в отношении следующих компонент АС:

  • устройств ввода/вывода (отображения) информации;
  • беспроводных устройств; программных, программно-технических и технических средств обработки информации; съемных машинных носителей информации;
  • машинных носителей информации, выведенных из эксплуатации;
  • активного (коммутационного) и пассивного оборудования каналов связи;
  • каналов связи, выходящих за пределы контролируемой зоны.

С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:

Внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;

Внешними нарушителями могут быть:

  • Неустановленные внешние субъекты (физические лица);
  • Бывшие работники (пользователи);
  • Террористические, экстремистские группировки;
  • Преступные группы (криминальные структуры).
  • Конкурирующие организации;
  • Разработчики, производители, поставщики программных, технических и программно-технических средств.

Внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к конфиденциальным данным и контролю порядка проведения работ.

Внутренними нарушителями могут быть:

  • Неустановленные внешние субъекты (физические лица);
  • Бывшие работники (пользователи);
  • Террористические, экстремистские группировки;
  • Преступные группы (криминальные структуры).
  • Конкурирующие организации;
  • Разработчики, производители, поставщики программных, технических и программно-технических средств.

4.4 Оценка потенциальных возможностей нарушителей (потенциал нарушителей)

Виды нарушителей, характерных для АС определялись на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нарушителями.

В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:

  • нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
  • реализация угроз безопасности информации по идеологическим или политическим мотивам;
  • организация террористического акта;
  • причинение имущественного ущерба путем мошенничества или иным преступным путем; дискредитация или дестабилизация деятельности органов государственной власти, организаций;
  • получение конкурентных преимуществ; внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;
  • любопытство или желание самореализации; выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
  • реализация угроз безопасности информации из мести;
  • реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.

Предположения о целях (мотивации) нарушителей делались с учетом целей и задач АС, вида обрабатываемой информации, а также с учетом результатов оценки степени возможных последствий (ущерба) от нарушения конфиденциальности, целостности или доступности информации. Виды нарушителя и их возможные цели (мотивация) реализации угроз безопасности информации приведены в таблице 1.

Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в АС с заданными структурно-функциональными характеристиками и особенностями функционирования.

Потенциал, требуемый нарушителю для реализации j-ой угрозы безопасности информации, может быть базовым (низким), базовым повышенным (средним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы безопасности информации определяется на основе данных, приведенных в банке данных угроз безопасности информации ФСТЭК России, а также в базовых и типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК России для информационных систем различных классов и типов.

Возможность реализации j-ой угрозы безопасности информации (Yj) в зависимости от уровня защищенности информационной системы (Y1/Y1П) и потенциала нарушителя (Y2) определяется как высокая, средняя или низкая в соответствии с таблицей 4.

Таблица 4. Возможность реализации угрозы безопасности информации

Потенциал нарушителя (Y2) Высокий Средний Низкий
Уровень защищенности (Y1/Y1П)
Базовый (низкий) Низкая Средняя Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая

Возможный потенциал нарушителей АС и их потенциальные возможности приведены в заключительном разделе.

4.5 Возможные способы реализации угроз безопасности информации

Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.

Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирования информационной системы.

Угрозы безопасности информации могут быть реализованы нарушителями за счет:

  • несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне (программы (микропрограммы), «прошитые» в аппаратных компонентах (чипсетах));
  • несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы);
  • несанкционированного доступа и (или) воздействия на объекты на прикладном уровне (системы управления базами данных, браузеры, web приложения, иные прикладные программы общего и специального назначения);
  • несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы);
  • несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации;
  • воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия).

Действия нарушителя в зависимости от его потенциала при реализации угроз безопасности информации предусматривают идентификацию и использование уязвимостей в микропрограммном, общесистемном и прикладном программном обеспечении, сетевом оборудовании, применяемых в информационной системе, а также в организации работ по защите информации и конфигурации информационной системы.

Нарушители могут совершать действия, следствием которых является нарушение безопасности информации, преднамеренно (преднамеренные грозы безопасности информации) или случайно (непреднамеренные грозы безопасности информации).

Преднамеренные действия нарушителей могут заключаться в реализации целенаправленных или нецеленаправленных угроз безопасности информации.

Целенаправленная угроза безопасности информации направлена на интересующую нарушителя информационную систему с заранее известными ему структурно-функциональными характеристиками и особенностями функционирования. Целенаправленная угроза безопасности информации адаптирована к структурно-функциональным характеристикам информационной системы. При подготовке и реализации целенаправленных угроз безопасности информации нарушитель может использовать методы социальной инженерии, которые позволяют ему изучить поведение пользователей и их реакцию на поступающие к ним внешние данные.

Нецеленаправленная («веерная») угроза безопасности информации не ориентирована на конкретную информационную систему. Целями такой угрозы могут являться несанкционированный доступ, перехват управления или воздействие на как можно большее количество информационных систем. В данном случае нарушителю заранее не известны структурно-функциональные характеристики и условия функционирования информационной системы.

Реализация преднамеренных угроз безопасности информации, как правило, включает:

  • сбор информации об информационной системе, ее структурно-функциональных характеристиках, условиях функционирования;
  • выбор (разработка, приобретение) методов и средств, используемых для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и условиями функционирования;
  • непосредственная реализация угроз безопасности информации в информационной системе (проникновение в информационную систему, закрепление в информационной системе, реализация неправомерных действий);
  • устранение признаков и следов неправомерных действий в информационной системе;

Классификационная таблица 1 – Нарушители

Нарушители Категория нарушителя Потенциал нарушителя Возможная мотивация Предполагаемые возможности Возможный класс СКЗИ **
Неустановленные внешние субъекты (физические лица) Внешний нарушитель с низким потенциалом Идеологические или политические мотивы. Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание самореализации (подтверждение статуса).

Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды.

 Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны Возможность получить информацию об уязвимостях отдельных компонент информационной системы, опубликованную в общедоступных источниках

Возможность получить информацию о методах и средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществлять создание методов и средств реализации атак и реализацию атак на информационную систему

 КС1
Бывшие работники (пользователи) Внешний нарушитель с низким потенциалом Причинение имущественного ущерба путем мошенничества или иным преступным путем. Месть за ранее совершенные действия. Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны Возможность получить информацию об уязвимостях отдельных компонент информационной системы, опубликованную в общедоступных источниках

Возможность получить информацию о методах и средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществлять создание методов и средств реализации атак и реализацию атак на информационную систему

 КС1
Лица, обеспечивающие функционирование информационных систем или обслуживающих инфраструктуру оператора (администрация, охрана, уборщики и т.д.) Внутренний нарушитель с низким потенциалом Причинение имущественного ущерба путем обмана или злоупотребления доверием. Непреднамеренные, неосторожные или неквалифицированные действия. Возможность получить информацию об уязвимостях отдельных компонент информационной системы, опубликованную в общедоступных источниках Возможность получить информацию о методах и средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществлять создание методов и средств реализации атак и реализацию атак на информационную систему Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак за пределами контролируемой зоны

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования

 КС2
Лица, привлекаемые для установки, наладки, монтажа, пуско-наладочных и иных работ Внутренний нарушитель с низким потенциалом Причинение имущественного ущерба путем обмана или злоупотребления доверием. Непреднамеренные, неосторожные или неквалифицированные действия Возможность получить информацию об уязвимостях отдельных компонент информационной системы, опубликованную в общедоступных источниках Возможность получить информацию о методах и средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществлять создание методов и средств реализации атак и реализацию атак на информационную систему Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак за пределами контролируемой зоны Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к АС, на которых реализованы СКЗИ и среда их функционирования

 КС3
Пользователи информационной системы Внутренний нарушитель с низким потенциалом Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание самореализации (подтверждение статуса). Месть за ранее совершенные действия.

Непреднамеренные, неосторожные или неквалифицированные действия.

 Возможность получить информацию об уязвимостях отдельных компонент информационной системы, опубликованную в общедоступных источниках Возможность получить информацию о методах и средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществлять создание методов и средств реализации атак и реализацию атак на информационную систему Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак за пределами контролируемой зоны Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к АС, на которых реализованы СКЗИ и среда их функционирования

 КС3
Администраторы информационной системы и администраторы безопасности Внутренний нарушитель со средним потенциалом Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание самореализации (подтверждение статуса). Месть за ранее совершенные действия. Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды.

Непреднамеренные, неосторожные или неквалифицированные действия.

 Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак за пределами контролируемой зоны Возможность получить информацию об уязвимостях отдельных компонент информационной системы, опубликованную в общедоступных источниках Возможность получить информацию о методах и средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществлять создание методов и средств реализации атак и реализацию атак на информационную систему Имеют осведомленность о мерах защиты информации, применяемых в информационной системе данного типа. Имеют возможность получить информацию об уязвимостях отдельных компонент информационной системы путем проведения, с использованием имеющихся в свободном доступе программных средств, анализа кода прикладного программного обеспечения и отдельных программных компонент общесистемного программного обеспечения. Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования информационной системы Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к АС, на которых реализованы СКЗИ и среда их функционирования

 КС3
Террористические, экстремистские группировки Внешний нарушитель со средним потенциалом Нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики. Совершение террористических актов. Идеологические или политические мотивы.

Дестабилизация деятельности органов государственной власти, организаций.

 Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак за пределами контролируемой зоны Возможность получить информацию об уязвимостях отдельных компонент информационной системы, опубликованную в общедоступных источниках Возможность получить информацию о методах и средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществлять создание методов и средств реализации атак и реализацию атак на информационную систему Имеют осведомленность о мерах защиты информации, применяемых в информационной системе данного типа. Имеют возможность получить информацию об уязвимостях отдельных компонент информационной системы путем проведения, с использованием имеющихся в свободном доступе программных средств, анализа кода прикладного программного обеспечения и отдельных программных компонент общесистемного программного обеспечения. Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования информационной системы Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ)

Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения)

 КВ
Преступные группы (криминальные структуры) Внешний нарушитель со средним потенциалом Причинение имущественного ущерба путем мошенничества или иным преступным путем. Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны Возможность получить информацию об уязвимостях отдельных компонент информационной системы, опубликованную в общедоступных источниках Возможность получить информацию о методах и средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществлять создание методов и средств реализации атак и реализацию атак на информационную систему Имеют осведомленность о мерах защиты информации, применяемых в информационной системе данного типа. Имеют возможность получить информацию об уязвимостях отдельных компонент информационной системы путем проведения, с использованием имеющихся в свободном доступе программных средств, анализа кода прикладного программного обеспечения и отдельных программных компонент общесистемного программного обеспечения. Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования информационной системы Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ)

Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения)

 КВ
Конкурирующие организации Внешний нарушитель со средним потенциалом Получение конкурентных преимуществ. Причинение имущественного ущерба путем обмана или злоупотребления доверием Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны Возможность получить информацию об уязвимостях отдельных компонент информационной системы, опубликованную в общедоступных источниках Возможность получить информацию о методах и средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществлять создание методов и средств реализации атак и реализацию атак на информационную систему Имеют осведомленность о мерах защиты информации, применяемых в информационной системе данного типа. Имеют возможность получить информацию об уязвимостях отдельных компонент информационной системы путем проведения, с использованием имеющихся в свободном доступе программных средств, анализа кода прикладного программного обеспечения и отдельных программных компонент общесистемного программного обеспечения.

Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования информационной системы

 КС1
Разработчики, производители, поставщики программных, технических и программно-технических средств Внешний нарушитель со средним потенциалом Внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки. Причинение имущественного ущерба путем обмана или злоупотребления доверием.

Непреднамеренные, неосторожные или неквалифицированные действия.

 Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны Возможность получить информацию об уязвимостях отдельных компонент информационной системы, опубликованную в общедоступных источниках Возможность получить информацию о методах и средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществлять создание методов и средств реализации атак и реализацию атак на информационную систему Имеют осведомленность о мерах защиты информации, применяемых в информационной системе данного типа. Имеют возможность получить информацию об уязвимостях отдельных компонент информационной системы путем проведения, с использованием имеющихся в свободном доступе программных средств, анализа кода прикладного программного обеспечения и отдельных программных компонент общесистемного программного обеспечения. Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования информационной системы Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ)

Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения)

 КВ

Вконтакте

Одноклассники

Мой мир

Facebook

E-mail

Модель нарушителя информационной безопасности

Под нарушителем ИБ понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным ресурсам предприятия.

Под атакой на ресурсы корпоративной сети понимается попытка нанесения ущерба информационным ресурсам систем, подключенных к сети. Атака может осуществляться как непосредственно нарушителем, так и опосредованно, при помощи процессов, выполняющихся от лица нарушителя, либо путем внедрения в систему программных или аппаратных закладок, компьютерных вирусов, троянских программ и т. п.

В соответствии с моделью все нарушители по признаку принадлежности к подразделениям, обеспечивающим функционирование ИС, делятся на внешних и внутренних.

Внутренние нарушители

Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений:

  • обслуживающий персонал (системные администраторы, администраторы БД, администраторы приложений и т.п., отвечающие за эксплуатацию и сопровождение технических и программных средств);
  • программисты, отвечающие за разработку и сопровождение системного и прикладного ПО;
  • технический персонал (рабочие подсобных помещений, уборщицы и т. п.);
  • сотрудники бизнес подразделений предприятия, которым предоставлен доступ в помещения, где расположено компьютерное или телекоммуникационное оборудование.

Предполагается, что несанкционированный доступ на объекты системы посторонних лиц исключается мерами физической защиты (охрана территории, организация пропускного режима и т. п.).

Предположения о квалификации внутреннего нарушителя формулируются следующим образом:

  • внутренний нарушитель является высококвалифицированным специалистом в области разработки и эксплуатации ПО и технических средств;
  • знает специфику задач, решаемых обслуживающими подразделениями ИС предприятия;
  • является системным программистом, способным модифицировать работу операционных систем;
  • правильно представляет функциональные особенности работы системы и процессы, связанные с хранением, обработкой и передачей критичной информации;
  • может использовать как штатное оборудование и ПО, имеющиеся в составе системы, так и специализированные средства, предназначенные для анализа и взлома компьютерных систем.

В зависимости от способа осуществления доступа к ресурсам системы и предоставляемых им полномочий внутренние нарушители подразделяются на пять категорий.

Категория А: не зарегистрированные в системе лица, имеющие санкционированный доступ в помещения с оборудованием. Лица, относящиеся к категории А, могут: иметь доступ к любым фрагментам информации, распространяющейся по внутренним каналам связи корпоративной сети; располагать любыми фрагментами информации о топологии сети, об используемых коммуникационных протоколах и сетевых сервисах; располагать именами зарегистрированных пользователей системы и вести разведку паролей зарегистрированных пользователей.

Категория B: зарегистрированный пользователь системы, осуществляющий доступ к системе с удаленного рабочего места. Лица, относящиеся к категории B, располагают всеми возможностями лиц, относящихся к категории А; знают, по крайней мере, одно легальное имя доступа; обладают всеми необходимыми атрибутами, обеспечивающими доступ к системе (например, паролем); имеют санкционированный доступ к информации, хранящейся в БД и на файловых серверах корпоративной сети, а также на рабочих местах пользователей. Полномочия пользователей категории B по доступу к информационным ресурсам корпоративной сети предприятия должны регламентироваться политикой безопасности, принятой на предприятии.

Категория C: зарегистрированный пользователь, осуществляющий локальный либо удаленный доступ к системам входящим в состав корпоративной сети. Лица, относящиеся к категории С, обладают всеми возможностями лиц категории В; располагают информацией о топологии сети, структуре БД и файловых систем серверов; имеют возможность осуществления прямого физического доступа к техническим средствам ИС.

Категория D: зарегистрированный пользователь системы с полномочиями системного (сетевого) администратора. Лица, относящиеся к категории D, обладают всеми возможностями лиц категории С; обладают полной информацией о системном и прикладном программном обеспечении ИС; обладают полной информацией о технических средствах и конфигурации сети; имеют доступ ко всем техническим и программным средствам ИС и обладают правами настройки технических средств и ПО. Концепция безопасности требует подотчетности лиц, относящихся к категории D, и осуществления независимого контроля над их деятельностью.

Категория E: программисты, отвечающие за разработку и сопровождение общесистемного и прикладного ПО, используемого в ИС. Лица, относящиеся к категории E, обладают возможностями внесения ошибок, программных закладок, установки троянских программ и вирусов на серверах корпоративной сети; могут располагать любыми фрагментами информации о топологии сети и технических средствах ИС.

Внешние нарушители

К внешним нарушителям относятся лица, пребывание которых в помещениях с оборудованием без контроля со стороны сотрудников предприятия невозможно.

Внешний нарушитель: осуществляет перехват, анализ и модификацию информации, передаваемой по линиям связи, проходящим вне контролируемой территории; осуществляет перехват и анализ электромагнитных излучений от оборудования ИС.

Предположения о квалификации внешнего нарушителя формулируются следующим образом:

  • является высококвалифицированным специалистом в области использования технических средств перехвата информации;
  • знает особенности системного и прикладного ПО, а также технических средств ИС;
  • знает специфику задач, решаемых ИС;
  • знает функциональные особенности работы системы и закономерности хранения, обработки и передачи в ней информации;
  • знает сетевое и канальное оборудование, а также протоколы передачи данных, используемые в системе;
  • может использовать только серийно изготовляемое специальное оборудование, предназначенное для съема информации с кабельных линий связи и из радиоканалов.

При использовании модели нарушителя для анализа возможных угроз ИБ необходимо учитывать возможность сговора между внутренними и внешними нарушителями.



Смотрите также