3.2 Классификация угроз безопасности информации
Угрозы безопасность информации на объект информатизации классифицируются по следующим первичным признакам: фактору возникновения угрозы, источнику угрозы, виду нарушения безопасности информации, объекту воздействия, характеру воздействия на защищаемую информацию (содержанию деструктивного действия), способу реализации.
По фактору возникновения угрозы:
Природным
Техногенными
Антропогенным
По источнику угрозы:
Внешние угрозы
Внутренние угрозы
По виду нарушения безопасности информации:
Нарушению доступности информации
Нарушению целостности информации
Нарушению конфиденциальности информации
По объекту воздействия:
Информацию, обрабатываемую или хранимую техническими средствами
Информацию, передаваемую по линиям передачи данных
По характеру воздействия на защищаемую информацию:
Угрозы утечки (хищения, разглашения) информации
Угрозы утраты (уничтожения) информации
Угрозы модификации информации
Угрозы блокирования информации
По способу реализации:
Угрозы разделяют по техническим каналам
каналы утечки речевой акустической информации
Посторонние лица
Среда радиоперехвата
Средства съема с проводных линий
Средство съёма виброакустических сигналов
Перехват сообщений сотовых телефонов
Устройство перехвата пейджинговых сообщений
каналы утечки графической (видовой) информации
Посторонние лица (наблюдатели)
Оптические и оптико-электронные средства наблюдения графической информации
Стационарные средства
Мобильные средства
Портативные средства
Средства съема оптических сигналов в ик-диапозоне
каналы утечки информации, побочных электромагнитных излучений и наводок
- Средства перехвата сигналов ПЭМИН
- Средства съема сигналов содержащих информацию, с проводных линий
- Закладочные устройства обнаружения и перехвата сигналов, содержащих защищенную информацию
- Средства перехвата пейджинговых сообщений и контроля сотовой связи
Угрозы связанные с НСД
С использованием программного обеспечения
Угрозы удалённых атак
Угрозы непосредственного доступа
- С использованием средств ОС
- С использованием специальных программ, в том числе вредоносных
- С использованием различного рода ошибок
Без использования программного обеспечения
Кража носителя
Подмена носителей, элементов оборудования
Физическое разрушение носителей, элементов оборудования
Рассмотрим поле подробно данную классификацию.
По фактору, обусловливающему возможность возникновения угрозы, выделяются три основных вида угроз: природные (стихийные); техногенные; антропогенные.
К природным угрозам относятся различные природные или физические явления (наводнения, землетрясения, пожары и т.п.), способные привести к нарушению безопасности информации.
К техногенными относятся угрозы, возникающие в процессе функционирования технических средств, способные вызвать нарушение безопасности информации. Среди техногенных угроз следует выделить два класса: угрозы случайного помехового воздействия, связанные с воздействием физических полей, источниками которых являются функционирующие технические средства (входящие в состав объекта информатизации или не входящие в его состав); угрозы сбоя, обусловленные дефектами, отказами технических средств или программного обеспечения ОИ.
К антропогенным угрозам относятся угрозы, возникающие в результате непреднамеренных или умышленных действий людей, способные привести к нарушению безопасности информации.
Непреднамеренные антропогенные угрозы в свою очередь разделяются на угрозы, обусловленные неправильной организацией защиты информации на ОИ и ошибками персонала ОИ. Преднамеренные антропогенные угрозы включают в себя угрозы, возникающие в результате преднамеренных деструктивных действий физических лиц или спецслужб и связанные с диверсионной деятельностью, несанкционированным доступом к информации, с ведением разведки, умышленным воздействием на ОИ по физическим полям.
По источнику угрозы все угрозы разделяются на внешние и внутренние. Под источником угрозы понимается субъект, материальный объект или физическое явление, физическое поле, создающее угрозы безопасности информации. Источники угроз безопасности информации разделяют на внешние и внутренние. Под внешними источниками понимаются органы и подразделения разведок иностранных государств, криминальных структур, физические лица, не относящиеся к персоналу объекта информатизации, деятельность которых направлена на нанесение ущерба безопасности информации, а также материальные объекты или физические явления, функционирование или существование которых создает опасность для информации. В отличие от внешнего источника внутренний источник угрозы безопасности информации– это субъект в составе объекта информатизации, деятельность которого наносит или может нанести ущерб безопасности информации. [56]
По виду нарушения безопасности информации угрозы разделяются на виды, соответствующие угрозам, приводящим к нарушению доступности, целостности и конфиденциальности информации. Кроме того, к угрозам безопасности информации относят также угрозы нарушения учетности сообщений (отказ от авторства сообщения). Такое разделение охватывает основные нарушения, связанные с реализации угроз.
По объекту воздействия угрозы безопасности могут быть направлены на информацию, которой оперирует персонал объекта информатизации, информацию, обрабатываемую или хранимую техническими средствами (аппаратурой в составе ОИ), информацию, передаваемую по линиям передачи данных.
По характеру воздействия на защищаемую информацию различают угрозы утечки (хищения, разглашения), утраты (уничтожения), модификации и блокирования информации.
По способу реализации угрозы разделяют на угрозы утечки по техническим каналам, угрозы, связанные с НСД (угрозы НСД), в том числе угрозы ПМВ, и угрозы воздействия по физической среде.
Угрозы утечки информации по техническим каналам классифицируются в соответствии с классификацией этих каналов. Под техническими каналами утечки защищаемой информации (ТКУИ) понимается совокупность источника защищаемой информации, среды распространения информативного сигнала (сигнала, содержащего защищаемую информацию) и приемника информативного сигнала, обусловливающая возможность перехвата защищаемой информации. При этом утечка защищаемой информации по техническим каналам представляет собой непредусмотренное задачами функционирования ОИ распространение информативного сигнала, содержащего защищаемую информацию, за пределы ОИ (контролируемой зоны ОИ), где может быть осуществлен его несанкционированный перехват (регистрация). [57,59]
Основными элементами (составляющими) ТКУИ (рисунок 3.2) являются:
Рисунок 3.2 – Обобщенная схема технического канала утечки информации
источник защищаемой информации – физическое лицо, устройство или коммуникации, которые излучают или передают информативный сигнал, который рассматривается как носитель защищаемой информации;
среда распространения информативного сигнала – физическая среда (воздух, строительные конструкции, инженерные коммуникации, собственные электромагнитные излучения или отраженное электромагнитное облучение технических средств, проводники, выходящие за пределы контролируемой зоны ОИ), по которой информативный сигнал может распространяться и приниматься приемником;
приемники информативного сигнала - посторонние лица, разнообразные технические средства перехвата (съема) информации, способные принять (зафиксировать, зарегистрировать) информативный сигнал и выделить из него защищаемую информацию.
Прием (съём, перехват) информативных сигналов по ТКУИ может осуществляться с использованием закладочных устройств, портативной (носимой), возимой и стационарной аппаратуры разведки, функционирующей в различных физических (информационных) полях:
- направленных микрофонов, осуществляющих дистанционный съём защищаемой информации;
- электронных стетоскопов, осуществляющих контактный съём виброакустических информативных сигналов с ограждающих конструкций и инженерных коммуникаций помещения ОИ;
- широкополосных радиоприёмных устройств (анализаторов спектра), осуществляющих перехват побочных и паразитных электромагнитных излучений ТСОИ и элементов АС, содержащих информативные сигналы;
- высокочастотных радиоприёмных устройств, осуществляющих перехват отраженного от ОТСС и ВТСС ОИ и модулированного защищаемой информацией высокочастотного ЭМИ, которым извне облучается ОИ;
- закладочных устройств различных типов (скрытых микрофонов и диктофонов, видеокамер и фотоаппаратов и других регистрирующих устройств), осуществляющих перехват защищаемой информации в пределах ОИ. Съём (перехват) защищаемой информации, выходящей по ТКУИ за пределами ОИ (контролируемой зоны), может вестись из близлежащих зданий (помещений), транспортных средств и участков местности. Кроме того, возможен перехват защищаемой информации с помощью портативной носимой аппаратуры, находящейся у посторонних лиц, посещающих организацию, которой принадлежит ОИ.
Угрозы НСД к информации классифицируются по используемым средствам доступа на угрозы, реализуемые с использованием программного обеспечения и без его использования (приложение Б).
Угрозы НСД с использованием программного обеспечения в свою очередь разделяются признаку удаленности субъекта от объекта доступа на угрозы удаленных атак и угрозы непосредственного НСД, по используемой ошибке - на угрозы, обусловленные неадекватностью принятых мер защиты, ошибками в программном обеспечении, ошибками пользователя и ошибками технического обслуживания. По содержанию деструктивного действия угрозы НСД с применением программного обеспечения дополнительно разделяются на угрозы копирования информации (хищения, ознакомления с информацией) и угрозы программно-математического воздействия на информацию (угрозы ПМВ). При этом угрозы ПМВ разделяются на угрозы модификации (подмены) данных, уничтожения информации и (или) программного обеспечения
отвечающего за организацию и управление информационными процессами, блокирование информационных процессов и (или) доступа авторизованных пользователей к защищаемым информационным ресурсам и службам (сервисам) информационных сетей и т.д. [61,65]
Угрозы, реализуемые без использования программного обеспечения (угрозы физического НСД к носителям информации, СВТ, элементам АС) разделяются по содержанию деструктивного действия на угрозы кражи носителей и элементов оборудования, их подмену и/или физическое разрушение. Угрозы непосредственного НСД к информации с использованием программного обеспечения – это угрозы, реализуемые субъектом на отдельном СВТ (отдельной ПЭВМ), отдельном АРМ без привлечения сетевых технологий. Эти угрозы разделяются по составу привлекаемого программного обеспечения на угрозы, реализуемые с применением специально разработанных для обеспечения доступа программ, и на угрозы, реализуемые с использованием системного программного обеспечения или прикладных программ общего пользования. Угрозы удаленного доступа к информации – это угрозы доступа, реализуемые с применением сетевых технологий, то есть угрозы сетевых атак. Под сетевой атакой понимается совокупность действий нарушителя, направленных на получение несанкционированного доступа к информационным или аппаратным ресурсам сети и реализуемых с использованием телекоммуникационной среды. Угрозы удаленного доступа к информации (угрозы сетевых атак) становятся угрозами безопасности информации, если они увязываются с определенными деструктивными действиями по отношению к защищаемой информации. Таким образом, угроза безопасности информации в данном случае включает в себя угрозу сетевой атаки и угрозу выполнения того или иного деструктивного действия с информацией. С учетом изложенного для классификации угроз безопасности информации, связанных с удаленным НСД, используются, кроме иных признаков, признаки классификации сетевых атак. Классификационная схема сетевых атак приведена в приложение Б. В ее основу положено шесть следующих первичных признаков классификации:
а) характер атаки. По этому признаку атаки могут быть пассивные и активные. Пассивная атака – это атака, которая не оказывает непосредственного влияния на работу системы, но при ее реализации могут быть нарушены установленные правила разграничения доступа к информации или сетевым ресурсам. Примером таких атак является атака "Анализ сетевого трафика", направленная на прослушивание каналов связи и перехват передаваемой информации. Отвечающего за организацию и управление информационными процессами, блокирование информационных процессов и (или) доступа авторизованных пользователей к защищаемым информационным ресурсам и службам (сервисам) информационных сетей и т.д.
Угрозы, реализуемые без использования программного обеспечения (угрозы физического НСД к носителям информации, СВТ, элементам АС) разделяются по содержанию деструктивного действия на угрозы кражи носителей и элементов оборудования, их подмену и/или физическое разрушение.
Угрозы непосредственного НСД к информации с использованием программного обеспечения – это угрозы, реализуемые субъектом на отдельном СВТ (отдельной ПЭВМ), отдельном АРМ без привлечения сетевых технологий. Эти угрозы разделяются по составу привлекаемого программного обеспечения на угрозы, реализуемые с применением специально разработанных для обеспечения доступа программ, и на угрозы, реализуемые с использованием системного программного обеспечения или прикладных программ общего пользования.
Угрозы удаленного доступа к информации – это угрозы доступа, реализуемые с применением сетевых технологий, то есть угрозы сетевых атак. Под сетевой атакой понимается совокупность действий нарушителя, направленных на получение несанкционированного доступа к информационным или аппаратным ресурсам сети и реализуемых с использованием телекоммуникационной среды. Угрозы удаленного доступа к информации (угрозы сетевых атак) становятся угрозами безопасности информации, если они увязываются с определенными деструктивными действиями по отношению к защищаемой информации. Таким образом, угроза безопасности информации в данном случае включает в себя угрозу сетевой атаки и угрозу выполнения того или иного деструктивного действия с информацией. С учетом изложенного для классификации угроз безопасности информации, связанных с удаленным НСД, используются, кроме иных признаков, признаки классификации сетевых атак
Классификационная схема сетевых атак приведена в приложение Б. В ее основу положено шесть следующих первичных признаков классификации:
а) характер атаки. По этому признаку атаки могут быть пассивные и активные. Пассивная атака – это атака, которая не оказывает непосредственного влияния на работу системы, но при ее реализации могут быть нарушены установленные правила разграничения доступа к информации или сетевым ресурсам. Примером таких атак является атака "Анализ сетевого трафика", направленная на прослушивание каналов связи и перехват передаваемой информации.
Активная атака – это атака, связанная с воздействием на ресурсы компьютерной сети, оказывающим непосредственное влияние на работу системы (изменение конфигурации системы или сети, нарушение работоспособности и т.д.), и с нарушением установленных правил разграничения доступа к информации или сетевым ресурсам. [62] Примером таких атак является атака "Отказ в обслуживании", реализуемая как "шторм TCP-запросов";
б) цель атаки. По этому признаку атаки могут быть направлены на нарушение конфиденциальности, целостности и доступности информации (в том числе, на нарушение работоспособности компьютерной системы или ее элементов, обусловливающее нарушение целостности или доступности информации);
в) условие начала осуществления атаки. По этому признаку может быть:
1) атака по запросу от атакуемого объекта. В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия;
2) атака по наступлению ожидаемого события на атакуемом объекте. В этом случае атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие;
3) безусловная атака. В этом случае начало осуществления атаки безусловно по отношению к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта;
г) наличие обратной связи с атакуемым объектом. По этому признаку атака может быть с обратной связью и без обратной связи (однонаправленная атака).
Сетевая атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему субъекту (нарушителю) требуется получить ответ. Следовательно, между нарушителем и целью атаки существует обратная связь, которая позволяет атакующему субъекту адекватно реагировать на все изменения, происходящие на атакуемом объекте.
В отличие от атак с обратной связью удаленным атакам без обратной связи не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте;
д) расположение субъекта атаки относительно атакуемого объекта. В соответствии с эти признаком атака может быть внутрисегментной и межсегментной. Сегмент сети - физическое объединение хостов (компьютеров или коммуникационных элементов сети, имеющих сетевой адрес). Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме "общая шина".[64]
В случае внутрисегментной атаки субъект и объект атаки находятся в одном сегменте. При межсегментной атаке субъект и объект атаки находятся в разных сегментах одной сети;
е) уровень эталонной модели взаимодействия открытых систем (ISO/OSI), на котором реализуется атака. По этому признаку атака может реализовываться на физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном уровне модели ISO/OSI.
ж) соотношение атакуемых и атакующих субъектов атак. В соответствии с данным признаком выделяют следующие соотношения атакуемых и атакующих субъектов:
1) "один к одному";
2) "один ко многим";
3) "распределенные (скоординированные) атаки".
При описании угроз безопасности информации, связанных с НСД, реализуемым с использованием программных средств, иногда удобно пользоваться понятием канала НСД. Под каналом НСД к защищаемой в АС информации понимается совокупность защищаемого объекта НСД, используемой для реализации НСД уязвимости программного, программно-аппаратного и (или) аппаратного обеспечения АС, а также субъекта НСД (рисунок 3.3)
Рисунок 3.3 - Обобщенная схема канала НСД (ПМВ) к защищаемой в АС информации
Основными элементами канала НСД являются:
объект НСД – информационный ресурс, элемент ПО или аппаратное средство СВТ, доступ к которому регламентируется правилами разграничения доступа. Доступ к объекту подразумевает доступ к содержащейся или обрабатываемой в нем информации;
субъект НСД – физическое лицо (пользователь АС, либо внешний субъект) и (или) инициированный им процесс, действия которых нарушают установленные правила разграничения доступа;
уязвимость ПО СВТ, АС - элемент и (или) свойство (характеристика) ПО и (или) аппаратной части СВТ, АС, позволяющие осуществить НСД к ресурсам СВТ, АС.
Несанкционированное программно-математическое воздействие (ПМВ) является частным случаем реализации угроз безопасности информации, связанных с НСД.
Под угрозами ПМВ следует понимать угрозы НСД, реализуемые с помощью компьютерных вирусов и программных закладок. Классификация угроз ПМВ приведена в приложение Б.
Несанкционированное ПМВ является преднамеренным вредоносным воздействием с использованием системного или прикладного программного обеспечения общего пользования или с помощью специально создаваемых программных средств (вредоносных программ). Результаты вредоносного ПВМ могут привести к несанкционированному копированию, искажению (модификации), утрате (уничтожению), перемещению информации, обрабатываемой в АС, блокированию доступа к ней или к иному нарушению процессов функционирования АС. ПМВ реализуется через те же каналы, что и угрозы безопасности информации, связанные с НСД с применением программных и программно-аппаратных средств в целом (рисунки 7-9).
Вредоносные ПМВ на защищаемую информацию, обрабатываемую в АС, могут быть осуществлены в результате:
активизации программных закладок, находящихся в составе ПО АС и способных оказать вредоносное воздействие на ресурсы (информационные, программные, аппаратные) АС;
воздействия внутрисегментных атак (источники которых находятся в составе защищаемой АС или ее сегмента) и (или) внешнесегментных атак (источники которых находятся за пределами защищаемой АС или ее сегмента) на ресурсы защищаемой АС;
воздействия компьютерных вирусов, внедряемых в АС как непосредственно с АРМ, входящих в ее состав (с отчуждаемых носителей вместе со сторонними программными средствами.
Основными свойствами программно-математических воздействий являются:
скрытие признаков своего присутствия в программной среде ЭВМ;
способность самодублирования, ассоциирования себя с другими программами и (или) переноса своих фрагментов в иные области оперативной или внешней памяти;
разрушение (искажение произвольным образом) кодов программ в оперативной памяти;
копирование фрагментов информации из оперативной памяти во внешнюю память прямого доступа (локальную и удаленную);
искажение произвольным образом, блокирование и/или подмена выводимый во внешнюю память или в канал связи массивов информации, образовавшихся в результате работы прикладных программ, или уже находящихся во внешней памяти.
Для реализации НСД к защищаемой на ОИ информации и вредоносных ПМВ на неё, могут быть использованы:
различного рода уязвимости программного, программно-аппаратного и аппаратного обеспечения АС (порождаемые недекларированными возможностями указанных видов обеспечения, внедренными программными и аппаратными закладками, а также специально создаваемые в программном обеспечении субъектом НСД);
ошибки в организации ТЗИ на ОИ (в том числе в определении состава и опасности угроз БИ, в определении состава и требуемой эффективности мер и средств ТЗИ, в определении и обеспечении выполнения правил разграничения доступа к защищаемой информации и т.д.);
применение не сертифицированных по требованиям БИ ОТСС, ВТСС и средств защиты информации;
неправильная настройка и эксплуатация программных, программно-аппаратных и аппаратных средств защиты информации;
сбои и отказы программных, программно-аппаратных и аппаратных средств АС.