Лекции КЗИ / Лекция_КЗИ_full
.pdfВ своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.
Однако умения и навыки могут быть реализованы при условии нахождения в определенных точках (помещениях) объекта, из которых можно реализовать угрозу. Поэтому, кроме уровня знаний нарушителя, его квалификации, подготовленности к реализации своих замыслов, для формирования наиболее полной модели нарушителя необходимо определить категорию лиц, к которым может принадлежать нарушитель. Причем, в данном случае нас не должны интересовать семейное положение или религиозные убеждения пользователей. Важны возможности каждой категории лиц по доступу к информационным ресурсам системы.
Учитывая тот факт, что каждая организация имеет свою специфику деятельности, не может существовать единой модели нарушителя. Поэтому, при разработке мер безопасности необходимо рассматривать все возможные для данной организации категории нарушителей, которых можно классифицировать.
Классификация нарушителей
Внешние нарушители |
Внутренние нарушители |
|
|
Конкуренты |
Сетевые администраторы |
|
|
Клиенты (представители |
Сотрудники отделов разработки и |
сторонних организаций) |
сопровождения ПО (прикладные |
|
и системные программисты) |
|
|
Посетители |
Пользователи (операторы) |
|
системы |
|
|
Хакеры |
Руководители различных уровней |
|
должностной иерархии |
|
|
Преступные организации |
Технический персонал |
|
|
Приведенная градация не самоцель. Она должна использоваться для определения возможностей по незаконному доступу к информации, циркулирующей в АС.
Конкуренты
Указанный вид нарушителя является самым опасным, так как обладает наибольшими финансовыми возможностями и квалификацией. Объектом нападения в первую очередь является коммерческая тайна объекта и клиентов. Указанный вид нарушителя является наиболее агрессивным и опасным, поскольку обладает значительнымтехникоэкономическим потенциалом и будет стараться получить нужную ему информацию всеми возможными и способами: путем взлома автоматизированной системы, подкупа сотрудников предприятия и т.п. Нарушителей данного типа достаточно сложно обнаружить, поскольку ущерб от утечки информации может быть неявным, цели нарушителя могут быть рассчитаны на далекую перспективу.
Клиенты
Указанный вид нарушителя является далеко не самым распространенным, и мало значительным. Целью атак данного типа нарушителей может являться система электронных платежей. Атаки предпринимаются с целью отказа от авторства платежного документа, или утверждения о формировании несуществующего платежного документа.
Посетители
Посетителей можно разделить на клиентов объекта и прочих посетителей. Посетители, находясь на территории объекта, могут иметь своей целью:
•стать свидетелем конфиденциальных переговоров между сотрудниками предприятия;
•получить доступ к информационным каналам и оборудованию. Прочих посетителей следует отнести к малочисленной и неопасной категории нарушителей. Их целью является получение в процессе переговоров с сотрудниками предприятия и на основании услышанных разговоров информации закрытого характера, либо использование возможности проникновения на закрытую территорию для проведения диверсий.
Хакеры
Указанная группа нарушителей является самой малочисленной группой, но, ввиду их высокой квалификации, несет потенциальную опасность. Следует отметить, что в случае их взаимодействия с конкурентами и внутренними нарушителями хакеры являются наиболее опасными злоумышленниками, поскольку могут, получив информацию о внутренней структуре сети и проходящих по ней информационных потоках, создать ситуации, препятствующие функционированию сети.
Администраторы
Указанная группа потенциальных нарушителей сети является весьма опасной группой среди внутренних нарушителей, несмотря на свою малочисленность, ввиду их высокой квалификации и специфики выполнения задач. В частности, ими могут быть воспроизведены все ситуации, препятствующие функционированию сети (останов, сбой серверов; уничтожение и/или модификацию программного обеспечения; создание множественных ложных информационных сообщений). Кроме того, ему доступен несанкционированный съем информации, блокирование работы отдельных пользователей, перестройка планов маршрутизации и политик доступа сети.
Программисты
Указанная группа потенциальных нарушителей, ввиду своей высокой квалификации и прав в программных комплексах, несет в себе завуалированные и трудно распознаваемые угрозы.
Вчастности:
•в случае доступа к реальным базам данных: может вносить неконтролируемые изменения в разрабатываемый программный продукт и
вбазы данных;
• встраивать в разрабатываемые продукты: системы несанкционированного доступа; системы блокировки работы по условному ключу или команде.
Операторы
Указанная группа потенциальных нарушителей, несмотря на свою многочисленность и возможность доступа к базам данных, не является высоко критичной, поскольку, при правильной организации работы, все их действия протоколируются, и они имеют доступ только к незначительной части информации.
Руководители
Указанная группа вероятных нарушителей потенциально является очень опасной в первую очередь из-за больших прав доступа в банковскую систему. Во-первых в связи с полномочиями, данными им, как руководите лям, имеют непосредственно доступ к просмотру и изменению критичной
информации, и видоизменению ее при сговоре. Во-вторых, обычно не ведут должного учета использования своих прав доступа в систему, не придерживаются рекомендуемых рамок при смене пароля, что может позволить постороннему пользователю, подобрав пароль, совершить какиелибо действия от его лица.
Технический персонал
Указанная группа нарушителей обладает специфическими возможностями по созданию незарегистрированных точек входа и выхода из локальной сети, созданию незарегистрированных узлов сети, изменению топо логии сети и т.п.
Сотрудники, уволенные с работы
Указанная группа может обладать специфическими возможностями, которые в первую очередь зависят от бывших прав нарушителя при работе в системе. Из наиболее часто встречающих ситуаций следует отметить продажу конкурентам информации о внутренней организации дел, распорядке делопроизводства. В случае, если уволен технический сотрудник: информации о топологии сети, своих имен и паролей в системе.
При формировании модели нарушителя необходимо дифференцировать всех сотрудников не только по их возможностям доступа к системе, но и по возможным потерям от действий персонала, т.е. по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь.
Алгоритм формирования облика нарушителя
Невозможно строить систему защиты информации без разработки детального сценария нарушений информационной безопасности. Сценарный подход давно используется в различных областях науки и техники. Он является некоторой интерпретацией театральной деятельности, где существует сценарий, режиссер и исполнители. По образу и подобию режиссером является администратор безопасности (в общем случае), исполнители – средства защиты информации, сценарий – совокупность сцен нарушения информационной безопасности. Режиссер, зная общий сценарий возможного развития событий, анализирует информацию о состоянии информационной среды и в соответствии с результатами анализа подключает тех или иных исполнителей – средства и способы защиты информации.
Дополнительно к двум показателям, характеризующим «поле боя» противоборствующих сторон, желательно каждое из направлений реализации угроз характеризовать еще и с точки зрения доказуемости совершенного нарушения. Для того, чтобы «схватить за руку» нарушителя, необходимо создавать соответственную доказательную базу в виде совокупности событий, фиксация которых будет свидетельствовать и подтверждать с высокой вероятностью, что незаконный доступ к ресурсам осуществлен конкретным лицом или группой лиц, с конкретного места и в конкретное время. Оценить доказательность нарушения также можно экспертным путем на основе анализа комплекса факторов, которые могут быть использованы в ходе расследования преступления. Как и в случае оценки своевременности, количество градаций доказательности определяется точностью исходных данных и находится в полной власти собственника информации.
В качестве типов нарушений могут быть неправомерное нарушение топологии сети, отключение оборудования или изменение режимов работы системы и отдельных устройств, порча (кража) носителей информации, нарушение конфиденциальности и ряд других.
Категории нарушителей конкретизируются для соответствующего предприятия.
Местом возникновения нарушения может быть рабочее место пользователя, вне системы, внутри системы, выделенное помещение и т.п.
Так как все компоненты взаимозависимы, то время обнаружения, а также вероятное время совершения нарушения могут дать дополнительную информацию к локализации преступления. Нарушение может быть обнаружено в ходе очередной проверки состояния системы, по факту свершения, при проверке цифровой подписи и т.п. А совершено оно может быть в разное время, а точнее в разных состояниях информационной системы. Таких временных состояний тоже несколько:
-период работы АСОИ в штатном режиме функционирования;
-во время работы отдельных компонентов системы, во время плановых перерывов в работе АСОИ;
-в нерабочее время, в перерыве для обслуживания и ремонта и т.п.). Представляется целесообразным рассматривать несколько сценариев,
например, для различных состояний АСОИ (времени совершения нарушения). Понятно, что в разных состояниях у злоумышленника разные возможности по реализации своих замыслов.