Загинайлов Теория ИБ-1 главы с 4 по 10
.pdfления угроз, уязвимостей, возможного ущерба, а также контрмер. Для этого разрабатывается модель угроз безопасности информации.
Модель угроз (безопасности информации) – физическое, матема-
тическое, описательное представление свойств или характеристик угроз безопасности информации.
При моделировании угроз используются как формальные методы оценки, так и неформальные. При этом анализируются все составляющие угрозы, приведенные на рисунке 9.1 и решаются частные задачи.
Частными задачами при моделировании и оценке угроз являют-
ся:
1)обоснование (выбор) системы показателей, необходимых для оценки уязвимости информации;
2)выбор (разработка) методики для проведения исследований
иопределения состава угроз;
3)определение и анализ множества видов уязвимости инфор-
мации, носителей и систем её обработки;
4)определение и анализ источников угроз и дестабилизирующих факторов;
5)определение и анализ множества каналов несанкционирован-
ного воздействия на информацию и системы её обработки (каналов утечки информации и несанкционированного доступа );
6)определение возможных способов реализации угроз и способов атак на системы обработки (АС);
7)определение относительно полного множества реальных уг-
роз и рисков, которые будут положены в основу для определения требований к системе защиты информации, с целью уменьшить или исключить риски.
Для формирования полного множества угроз может быть предложен алгоритм, приведенный на рисунке 9.2., который включает:
– формирование начальной структуры угроз;
– выявление множества угроз (факторов) методами структур- но-логического анализа;
–уточнение и пополнение множества угроз (факторов) на основе опыта защиты и статистических данных;
– уточнение и пополнение множества угроз (факторов) экспертными оценками;
– уточнение и пополнение множества угроз (факторов) имитационным моделированием;
– уточнение и пополнение множества угроз (факторов) натурными экспериментами.
131
Начало 
1Формирование начальной структуры угроз (факторов, например по ГОСТ Р 51275-2006)
2Выявление множества факторов методами структурно-логического анализа
3Уточнение и пополнение множества факторов на основе опыта защиты и статистических данных
4Уточнение и пополнение множества факторов экспертными оценками
Полное
|
5 |
Экспертные оценки |
|
полноты множества |
|
|
|
Неполное |
|
|
|
6 |
Уточнение и пополнение множества факторов |
|
имитационным моделированием |
||
|
|
|
Полное
|
7 |
Экспертные оценки |
|
|
полноты множества |
|
|
|
|
Неполное |
|
|
|
|
|
8 |
Уточнение и пополнение множества факторов на- |
|
|
турными экспериментами |
|
||
|
|
|
|
|
|
|
|
Рисунок 9.2 – Алгоритм оценки угроз
132
Контрольные вопросы и задания
1.Как формулируется понятие угрозы применительно к безопасности информации?
2.Что понимается под уязвимостью информации, источником угрозы, риском в отношении безопасности информации?
3.Что включают в себя условия реализации угрозы?
4.Приведите группы факторов, воздействующих на информацию, как составляющие структурно-логической модели угрозы?
5.Какие элементы включает профиль субъективной преднамеренной угрозы?
6.Приведите признаки, по которым осуществляется общая классификация угроз безопасности информации.
7.Приведите виды угроз по цели действия и дайте им характери-
стику.
8.Что включают в себя цель и частные задачи при моделировании и оценке угроз?
9.Какие этапы включает обобщённый алгоритм оценки угроз?
133
Глава 10 ИСТОЧНИКИ И СПОСОБЫ РЕАЛИЗАЦИИ ГРОЗ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ. УЯЗВИМОСТИ СИСТЕМ ОБРАБОТКИ ИНФОРМАЦИИ
10.1 Источники угроз безопасности информации
Основной причиной существования и реализации угроз безопасности информации являются источники угроз. В качестве источников угроз безопасности информации могут выступать как физические лица (группа физических лиц), так и объективные проявления: явления природного и техногенного характера, и процессы хранения, обработки и передачи информации. Источники угроз безопасности информации разделяются на два класса: объективные, субъективные. Каждый класс, включает два подкласса: внешние источники, внутренние источники.
Классификация источников угроз безопасности информации приведена на рисунке 10.1.
Источники угроз безопасности информации
Объективные
Внутренние Внешние
Техноген - |
|
Стихий- |
ные |
|
ные |
|
|
|
Субъективные
Внутренние Внешние
Случайные Преднамеренные
Рисунок 10.1 – Классификация источников угроз безопасности информации
134
Объективные источники угроз безопасности информации.
Классификация объективных источников угроз безопасности представлена в таблице 10.1.
Таблица 10.1 – Объективные источники угроз безопасности информации
Под класс |
Группа |
Источники угроз |
|
|
|
||
|
|
|
|
1 |
2 |
3 |
|
внутренние |
Техногенные |
- некачественные технические |
|
средства обработки информации (ИС) |
|||
(явления техногенно- |
- некачественное программное |
||
го характера - |
обеспечение |
||
- некачественные системы обеспе- |
|||
дефекты, сбои, отка- |
|||
чения ОИ (охраны, сигнализации, те- |
|||
|
зы, аварии) |
лефонии) |
|
|
|
- другие технические средства |
|
|
|
применяемые на ОИ |
|
|
Техногенные |
- некачественные системы обеспе- |
|
|
чения ОИ (средства связи, инженерные |
||
|
(явления техногенно- |
коммуникации системы водоснабже- |
|
|
го характера - |
ния, канализации) и т.п. |
|
|
- непреднамеренные электромаг- |
||
|
дефекты, сбои, отка- |
||
|
нитные облучения ОИ |
||
внешние |
зы, аварии) |
-радиационные облучения ОИ |
|
|
|||
|
|
||
Стихийные |
- термические факторы (пожары |
||
и т. д.). |
|||
|
(природные явления, |
- климатические факторы (навод- |
|
|
стихийные бедствия) |
нения и т. д.). |
|
|
- механические факторы (земле- |
||
|
|
||
|
|
трясения и т. д.). |
|
|
|
- электромагнитные факторы (гро- |
|
|
|
зовые разряды и т. д.). |
|
|
|
- биологические факторы (микро- |
|
|
|
бы, грызуны и т. д.). |
Объективные внутренние источники угроз. Подкласс этих ис-
точников угроз включает одну группу – источники техногенного ха-
135
рактера. Источниками являются некачественные технические средства обработки информации, некачественное программное обеспечение, системы обеспечения ОИ (охраны, сигнализации, телефонии). Недостаточное качество (дефекты) могут привести к сбоям, отказам, авариям.
Дефекты, сбои, отказы, аварии технических средств и систем объекта информатизации. Исключить полностью эти явления достаточно сложно. Однако на случай проявления таких факторов должны быть предусмотрены специальные меры службами безопасности предприятия. Другим немаловажным средством предотвращения таких явлений является использование надёжных (сертифицированных) средств обработки и обеспечения ОИ. Результатом проявления этих факторов может быть утрата информации (потеря целостности, блокирование доступа к ней, выход из строя носителей информации).
Дефекты, сбои и отказы программного обеспечения объекта информатизации. Сбои программного обеспечения иногда более опасны, чем аварии ТС и систем ОИ, так как в результате информация может быть полностью уничтожена.
Объективные внешние источники угроз. Этот подкласс источ-
ников угроз включает явления техногенного и стихийного (природного) характера.
Стихийные источники угроз относятся к случайным, непреднамеренным источникам. Результатом воздействия является утрата (уничтожение или разрушение носителей ЗИ или блокирование доступа к ней). Они непосредственно не зависят от действия людей. В то же время предотвращение этих воздействий возлагается на специалистов организации, в рамках которой функционирует объект информатизации. Для предотвращения угроз вызванных этими источниками существуют определённые средства и методы (громоотводы, заземления, противопожарные системы и т.п.).
Предупреждение воздействия этих факторов является традиционным и связано не только с информационной безопасностью объекта, но и в целом с безопасностью организации.
Субъективные источники угроз безопасности информации.
Субъективные источники угроз безопасности информации разделяются на два подкласса: внутренние и внешние.
Субъективные внутренние источники включают группы:
-персонал, допущенный к защищаемой информации;
-лица, допущенные на ОИ, обслуживанию систем и средств обеспечения ОИ.
136
Состав источников приводится в таблице 10.2.
Таблица 10.2 – Субъективные источники угроз безопасности информации
классПод |
Группа |
Подгруппа |
|
||
|
|
|
1 |
2 |
3 |
|
Персонал |
-основной персонал (пользова- |
|
допущенный |
тели, программисты, разработчи- |
|
к защищаемой |
ки) |
|
информации |
- представители службы |
Внутренние |
(нарушители и зло- |
защиты информации |
допущенные на ОИ, |
(уборщики, охрана) |
|
|
умышленники) |
|
|
Лица, |
- вспомогательный персонал |
|
обслуживанию систем |
- технический персонал (жиз- |
|
и средств обеспечения |
необеспечение, эксплуатация) |
|
ОИ |
|
|
(нарушители и |
|
|
злоумышленники) |
|
|
|
|
|
Нарушители и |
- иностранные разведки |
|
- конкуренты и их службы развед- |
|
|
злоумышленники |
ки (недобросовестные партнеры) |
|
|
- криминальные элементы (срукту- |
Внешние |
|
ры) |
|
т.д. |
|
|
|
- потенциальные преступники и |
|
|
хакеры (компьютерные взломщики) и |
|
|
- технический персонал поставщи- |
|
|
ков телематических услуг |
|
|
- представители надзорных органи- |
|
|
заций и аварийных служб |
|
|
- представители силовых структур |
|
|
- самоутверждающиеся личности |
|
|
|
|
|
137 |
Субъективные внешние источники угроз безопасности ин-
формации. Этот подкласс, включает группы нарушителей и злоумышленников.
10.2 Виды угроз безопасности информации и способы их реализации со стороны субъективных источников
Основным вариантом классификации угроз безопасности информации и способов их реализации со стороны субъективных источников (субъективные угрозы) для объекта информатизации, следует считать вариант составленный на основе факторов воздействующих на информацию, приведенных в ГОСТ Р 51275-2006 Объект информатизации. Факторы, воздействующие на информацию. Класс субъективных угроз включает два подкласса: внутренние и внешние.
Субъективные, внутренние угрозы безопасности информации и способы их реализации. Видами субъективных, внутренних угроз безопасности информации на объекте информатизации следует считать:
1)разглашение конфиденциальной информации лицами, имеющими к ней право доступа;
2)неправомерные действия со стороны лиц, имеющих право доступа к защищаемой (конфиденциальной и иной);
3)несанкционированный доступ к защищаемой информации;
4)блокирование доступа к защищаемой информации.
Виды внутренних, субъективных угроз безопасности информации на объекте информатизации и способы их реализации приведены в таблице 10.3.
Разглашение конфиденциальной информации лицами, имеющими к ней право доступа. Разглашение конфиденциальной информации лицами (персоналом), имеющими к ней доступ может быть реализовано различными способами. Эти способы просты и понятны и не требуют особенных комментариев. Они связаны с организацией защиты информации. Для предотвращения этого вида угроз применяются организационные и правовые способы защиты информации.
Неправомерные действия со стороны лиц, имеющих право дос-
тупа к защищаемой информации. Этот вид угроз, распространяется как на конфиденциальную информацию, так и на общедоступную, а также на объекты интеллектуальной собственности.
Несанкционированный доступ к защищаемой информации. Не-
санкционированный доступ к защищаемой информации – получение
138
Таблица 10.3 – Виды угроз безопасности информации со стороны субъективных внутренних источников и способы их реализации
Виды |
Способы реализации субъективных, |
||
субъективных, |
|||
|
внутренних угроз |
||
внутренних угроз |
|
||
|
|
||
1 |
|
2 |
|
1. Разглашение |
1.1 |
Разглашение информации лицам, не |
|
конфиденциальной |
имеющим права доступа к ЗИ |
||
информации |
1.2 |
Передача информации по открытым |
|
лицами, |
линиям связи |
||
1.3 |
Обработка информации на незащи- |
||
имеющими к ней |
|||
щенных ТС обработки информации |
|||
право доступа |
|||
1.4 |
Опубликование информации в откры- |
||
|
|||
|
той печати и других СМИ |
||
|
1.5 |
Копирование информации на незаре- |
|
|
гистрированный носитель информации. |
||
|
1.6 |
Передача носителя информации лицу, |
|
|
не имеющему права доступа к ней. |
||
|
1.7 |
Утрата носителя с защищаемой ин- |
|
|
формацией. |
||
2. Неправомерные |
2.1 Несанкционированное изменение ин- |
||
действия |
формации (модификация). |
||
со стороны лиц, |
2.2 |
Несанкционированное копирование |
|
имеющих право |
информации |
||
|
|
||
доступа к ЗИ |
|
|
|
|
|
|
|
3.Несанкционирован- |
3.1 |
Подключение к техническим средст- |
|
ный доступ к ЗИ |
вам и системам ОИ. |
||
|
3.2 |
Использование закладочных средств |
|
|
(устройств) |
||
|
3.3 |
Использование программного обеспе- |
|
|
чения технических средств ОИ |
||
|
3.4 |
Хищение носителя с защищаемой ин- |
|
|
формацией |
||
|
3.5 |
Нарушение функционирования техни- |
|
|
ческих средств обработки информации |
||
|
|
|
|
4. Блокирование досту- |
4.1 |
Блокирование доступа путём установ- |
|
па к ЗИ |
ки специального программного обеспечения |
||
|
|
|
|
|
|
139 |
|
защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Этот вид угрозы может быть реализован следующими способами:
–подключением к техническим средствам и системам ОИ;
–использованием закладочных средств (устройств);
–использованием программного обеспечения технических средств объекта информатизации;
–хищением носителя защищаемой информации;
–нарушением функционирования ТС обработки информации.
Подключение к техническим средствам и системам ОИ может
быть осуществлено с использованием штатного оборудования имеющегося на объекте информатизации с нарушением правил его использования или негласно внесённого и неучтённого типового оборудования.
Использование закладочных средств (устройств). Закладочное средство (устройство) - техническое средство (устройство) приема, передачи и обработки информации, преднамеренно устанавливаемое на объекте информатизации или в контролируемой зоне в целях перехвата информации или несанкционированного воздействия на информацию и (или) ресурсы автоматизированной информационной системы. Местами установки закладочных средств (устройств) на охраняемой территории могут быть любые элементы контролируемой зоны, например: ограждение, конструкции, оборудование, предметы интерьера, транспортные средства.
Закладочные устройства бывают различных видов. В них могут располагаться средства записи. Закладочные устройства могут снимать информацию и ретранслировать её на приёмник расположенный вблизи объекта информатизации. Основными закладочными устройствами следует считать средства съёма акустической информации (микрофонного типа) и видеоинформации (мини видеокамеры). Они могут записывать информацию на встроенные носители или ретранслировать её за пределы объекта.
Использование программного обеспечения технических средств объекта информатизации может быть осуществлено путём:
–«маскировки под зарегистрированного пользователя»;
–использованием дефектов программного обеспечения ОИ («люков» и др.)
–использования программных закладок;
–применениевирусов или другоговредоносногопрограммного
140