Торокин А.А. Инженерно-техническая защита информации, 2005

27.3.1.Моделирование каналов несанкционированного доступа к информации

Из сил воздействия на носитель информации наибольшие уг­ розы могут создать злоумышленники и пожар. Они образуют кана­ лы несанкционированного доступа к информации. Поэтому моде­ лирование этих каналов предусматривает:

•моделирование каналов несанкционированного доступа зло­ умышленника к защищаемой информации;

•моделирование каналов несанкционированного доступа сти­ хийных сил.

Действия злоумышленника по добыванию информации, так же как других материальных ценностей, определяются поставлен­ ными целями и задачами, его мотивами, квалификацией и техни­ ческой оснащенностью. Так же как в криминалистике расследова­ ние преступления начинается с ответа на вопрос, кому это выгод­ но, так и при моделировании системы защиты необходимо, прежде всего, выяснить с максимально возможной достоверностью, кому нужна защищаемая информация.

Следует отметить, что прогнозирование источников угрозы информации является одним из основных условий ее эффектив­ ной защиты. При достаточно высокой достоверности прогноза со­ здается запас времени для предотвращения угроз не только ме­ тодами защиты источников, но и воздействия на источник угро­ зы. Например, можно договориться с конкурентом или, при нали­ чии фактов его противоправных действий, потребовать от него их прекращения под угрозой предания гласности фактов наруше­ ний.

Источники угрозы информации можно условно разделить на 4 группы:

•сотрудники (агенты) зарубежных спецслужб;

•конкуренты на рынке и в борьбе за власть;

•криминальные элементы;

•сотрудники организации, пытающиеся добыть и продать ин­ формацию по собственной инициативе или завербованные за­ рубежной разведкой, конкурентом или криминалом.

Сотрудники спецслужб (агенты) характеризуются высокой

профессиональностью и технической оснащенностью. Оперативно­

781

технические характеристики используемых ими технических средств часто превосходят характеристики средств, имеющихся на рынке.

Руководители коммерческих структур привлекают для добы­ вания информации о своих конкурентах уволившихся сотрудников силовых ведомств и используют имеющиеся на рынке технические средства. В среднем квалификация этих злоумышленников и воз­ можности применяемых ими технических средств ниже.

Криминал привлекает для решения рассматриваемых задач или уволенных за низкие моральные качества и правонарушения, или уволившихся «обиженных» бывших сотрудников спецслужб. Квалификация этих злоумышленников, как правило, достаточно высокая, а используемые ими технические средства присутствуют на рынке. Однако если спецслужбы и конкуренты проводят раз­ ведывательную операцию скрытно, то криминал может пойти на силовое проникновение с использованием стрелкового оружия и взрывчатых веществ.

Слабая квалификация сотрудников организации частично компенсируется возможностью более простого проникновения их к источнику информации. Завербованный сотрудник организации может получить инструкции по маршруту и способам проникно­ вения, необходимые технические средства или деньги на их при­ обретение.

В зависимости от квалификации, способов подготовки и про­ никновения в организацию злоумышленников разделяют на сле­ дующие типы:

•неквалифицированный, который ограничивается внешним ос­ мотром объекта, проникает в организацию через двери и окна;

•малоквалифицированный, изучающий систему охраны объ­ екта и готовящий несколько вариантов проникновения, в том числе путем взлома инженерных конструкций;

•высококвалифицированный, который тщательно готовится

кпроникновению, выводит из строя технические средства ох­ раны, применяет наиболее эффективные способы и маршруты

проникновения и отхода.

Моделирование угроз информации с учетом квалификации злоумышленника обеспечивает экономию ресурса на защиту ин­ формации в том случае, если удается с достаточно большой досто-

782

вернрстью определить источник угрозы. В противном случае во избежание грубых ошибок в условиях отсутствия информации о злоумышленнике, его квалификации и технической оснащенности лучше переоценить угрозу, чем ее недооценить, хотя такой подход и может привести к увеличению затрат на защиту. В этом случае целесообразен при моделировании угроз информации следующий подход к формированию модели злоумышленника:

•злоумышленник представляет серьезного противника, тщательно готовящего операцию по добыванию информации;

•, ’ он изучает обстановку вокруг территории организации, наблю-

?даемые механические преграды, средства охраны, телевизион­ ного наблюдения и дежурного (ночного) освещения, а также со­ трудников с целью добывания от них информации о способах и средствах защиты;

•намечает варианты и проводит анализ возможных путей про­ никновения к источникам информации и ухода после выполне­ ния задачи;

•имеет в распоряжении современные технические средства про­ никновения и преодоления механических преград.

При моделировании действий квалифицированного злоумыш­ ленника необходимо также исходить из предположения, что он хо­ рошо представляет современное состояние технических средств за­ щиты информации, типовые варианты их применения, слабые мес­ та и «мертвые» зоны диаграмм направленности активных средств охраны.

Для создания модели угрозы физического проникновения, до­ статочно близкой дс реальной, необходимо «перевоплотиться» в злоумышленника и смоделировать операцию проникновения за него. Для моделирования угроз целесообразно привлекать в качес­ тве «злоумышленников» опытных сотрудников службы безопас­ ности, не участвующих в моделировании объектов охрацы и до­ пущенных к обобщенной информации о способах и средствах ох­ раны организации. Использование в качестве экспертов сотрудни­ ков других структурных подразделений недопустимо, так как это может привести к утечке ценной информации. «Злоумышленник» должен выявить на основе данных 1-го этапа организации защиты «слабые места» в существующей системе охраны и определить воз­ можные маршруты его движения к месту нахождения источника.

783

Чем больше при этом будет учтено факторов, влияющих на эффек­ тивность проникновения, тем выше адекватность модели.

Маршруты движения обозначаются на соответствующих пла­ нах модели объектов охраны. Так как моделирование основывается на случайных событиях, то целесообразно наметить несколько ва­ риантов проникновения.

Основными элементами путей проникновения могут быть:

•естественные (ворота, двери КПП);

•вспомогательные (окна, люки, коммуникационные каналы, тун­ нели, пожарные лестницы);

•специально создаваемые (проломы, подкопы, лазы).

Варианты проникновения могут также существенно отличать­ ся и проводиться:

•скрытно или открыто;

•без использования или с использованием специальных приспо­ соблений;

•без использования или с использованием силовых методов ней­ трализации охраны.

Возможность реализации угрозы проникновения злоумыш­ ленника к источнику информации оценивается произведением ве­ роятностей двух зависимых событий: безусловной вероятностью попытки к проникновению и условной вероятностью преодоления им всех рубежей на пути движения его от точки проникновения до места непосредственного контакта с источником информации — вероятностью проникновения.

Вероятность попытки добыть информацию, в том числе пу­ тем проникновения к источнику, зависит от соотношения цены до­ бытой информации и затрат злоумышленника на ее добывание. Вероятность принятия злоумышленником решения на проникнове­ ние близка к нулю, если цена информации меньше или соизмерима с затратами на ее приобретение. При превышении цены над затратами эта вероятность возрастает. Так как вероятность не может превысить 1, то зависимость вероятности попытки несанкционированного до­ ступа злоумышленника от соотношения цены информации Сци над затратами Сзз можно аппроксимировать выражениями: Рв = 0 при

где аву — коэффициент, учитывающий степень роста зависимости вероятности Рву от соотношения Сци / Си.

784

Такая математическая модель достаточно хорошо согласует­ ся с логикой принятия решения злоумышленником на осущест­ вление операции по добывании информации. Действительно, ког­ да Сци < Сзз, то Рву ~ О, затем при увеличении этого соотношения бо­ лее 1 вероятность попытки проникновения сначала медленно, а за­ тем более существенно возрастает, а при существенном росте соот­ ношение цены и затрат монотонно приближается к 1.

Вероятность проникновения к источнику информации при условии принятия решения злоумышленником на проведение операции (возникновения угрозы) зависит от уровня защищен­ ности источника информации, времени реакции сил нейтрали­ зации, квалификации злоумышленника и его технической осна­ щенности. В интегральном виде эта вероятность определяется вероятностями обнаружения Роз и необнаружения Р вторжения злоумышленника системой защиты информации и соотношением времени задержки злоумышленника тзз и времени реакции систе­ мы защиты трс. Так как при тзз « трс вероятность проникновения близка к 1, а при противоположном соотношении времен близка к 0, то вероятность проникновения злоумышленника Рпз в первом приближении удобно аппроксимировать экспоненциальной фун­ кцией Рпз = Рнэ + Розехр(- рпзтзз / трс), где рпз — коэффициент, учиты­ вающий уровень защищенности организации.

С учетом этих моделей вероятность угрозы воздействия мож­

при С /С >1.

ГЦИ рр

Более точные результаты могут быть получены в результате моделирования проникновения. Для моделирования проникнове­ ния целесообразно использовать аппарат видоизмененных семан­ тических сетей. Семантическая сеть представляет собой граф, узел которого соответствует одному из рубежей и одной из контролиру­ емых зон организации, а ребро — вероятности и времени перехо­ да источника угрозы из одного рубежа (зоны) в другой (другую). Для наглядности целесообразно узел — рубеж представить в виде кружка, а узел — зону — в виде прямоугольника. В свою очередь рубеж и зона могут находиться в разных состояниях. Рубеж мо-

жет быть Открытым (состояние 0), закрытым без включения тех­ нических сигнализации (состояние 1) и закрытым с включенными средствами сигнализации (состояние 2). Например, дверь в рабо­ чее время может быть открытой или закрытой, во внерабочее вре­ мя — закрытой с подключением охранной сигнализации. Зона как часть пространства с контролируемым уровнем безопасности мо­ жет быть свободной для прохода и проезда (состояние 0) и закры­ той (с включенными средствами охраны)— состояние 1. Пример моделей каналов несанкционированного доступа источника угро­ зы в выделенное помещение показан на рис. 27.2.

Как следует из рисунка, существует множество путей перехо­ да из нулевого состояния в конечное с разными вероятностями и временами задержками. Каждый путь характеризуется значения­ ми вероятности и времени проникновения. Вероятность проникно­ вения по i-му пути равна произведению вероятностей всех п про­ межуточных переходов по этому пути. Время задержки равно сум­ ме задержек на каждом переходе. Чем выше вероятность и меньше время, тем выше величина угрозы.

Учитывая, что злоумышленник будет выбирать путь с лучши­ ми для решения своей задачи параметрами — с большей вероят­ ностью и меньшим временем проникновения, то угрозы ранжиру­ ются по этим параметрам. Если один из путей имеет большую ве­ роятность, но меньшее время проникновения, то при ранжирова­ нии возникнет проблема выбора. Для ее решения необходимо два показателя свести к одному. В качестве такого глобального пока­ зателя можно использовать не имеющее физического смысла от­ ношение времени задержки и вероятности проникновения по рас­ сматриваемому участку пути. Для такого критерия наибольшую угрозу представляет путь проникновения с меньшими значениями интегрального показателя.

Возможные пути проникновения злоумышленников отмеча­ ются линиями на планах (схемах) территории, этажей и помеще­ ний зданий, а результаты анализа пути заносятся в таблицу, вари­ ант которой указан в табл. 27.3.

Таблица 27.3

Примечание. Под источником угрозы понимается злоумышленник

ипожар.

27.3.2.Моделирование каналов утечки информации

Обнаружение и распознавание технических каналов утечки информации, так же как любых объектов, производится по их де­ маскирующим признакам. В качестве достаточно общих призна­ ков или индикаторов каналов утечки информации могут служить указанные в табл. 27.4.

Таблица 27.4

Оптический Просматриваемость помещений из окон противополож­ ных домов.

Близость к окнам деревьев.

Отсутствие на окнах занавесок, штор, жалюзей. Просматриваемость содержания документов на столах со сторон окон, дверей, шкафов в помещении. Просматриваемость содержания плакатов на стенах по­ мещения для совещания из окон и дверей.

Малое расстояние между столами сотрудников в поме­ щении.

Просматриваемость экранов мониторов ЙЭВМ на столах сотрудников со стороны окон, дверей или других сотруд­ ников.

Складирование продукции во дворе без навесов. Малая высота забора и дырки в нем.

788

Приведенные индикаторы являются лишь ориентирами при поиске потенциальных каналов утечки. В конкретных условиях их состав существенно больший.

Потенциальные каналы утечки определяются для каждого ис­ точника информации, причем их количество может не ограничи­

789

ваться одним или двумя. Например, от источника информации — руководителя фирмы, работающего в своем кабинете, утечка ин­ формации возможна по следующим каналам:

•через дверь в приемную или коридор;

•через окно на улицу или во двор;

•через вентиляционное отверстие в соседние помещения;

•с опасными сигналами по радиоканалу;

•с опасными сигналами по кабелям, выходящим из помещения;

•по трубам отопления в другие помещения здания;

•через стены, потолок и пол в соседние помещения;

•с помощью закладных устройств за территорию фирмы.

Моделирование технических каналов утечки информации по существу является единственным методом достаточно полного ис­ следования их возможностей с целью последующей разработки способов и средств защиты информации. В основном применяют­ ся вербальные и математические модели. Физическое моделирова­ ние каналов утечки затруднено и часто невозможно по следующим причинам:

•приемник сигнала канала является средством злоумышленни­ ка, его точное месторасположение и характеристики службе бе­ зопасности неизвестны;

•канал утечки включает разнообразные инженерные конструк­ ции (бетонные ограждения, здания, заборы и др.) и условия рас­ пространения носителя (переотражения, помехи и т. д.), воссо­ здать которые на макетах невозможно или требуются огромные расходы.

Применительно к моделям каналов утечки информации целе­ сообразно иметь модели, описывающие каналы в статике и дина­ мике.

Статическое состояние канала характеризуют структурная и пространственная модели. Структурная модель описывает струк­ туру (состав и связи элементов) канала утечки. Пространственная модель содержит описание положения канала утечки в пространс­ тве: места расположения источника и приемника сигналов, уда­ ленность их от границ территории организации, ориентация век­ тора распространения носителя информации в канале утечки ин­ формации и ее протяженность. Структурную модель канала целе-

790