- •Тема 3. Угрозы безопасности информации на нжмд.
- •В своем уровне нарушитель является специалистом высшей квалификации, знает все об автоматизированной системе и, в частности, о средствах ее защиты.
- •Общая характеристика категорий нарушителей безопасности информации в ас
- •Общая характеристика программно-аппаратных закладок в ас
- •Общая характеристика вредоносных программ
- •Литература
В своем уровне нарушитель является специалистом высшей квалификации, знает все об автоматизированной системе и, в частности, о средствах ее защиты.
Такая модель нарушителя, описанная в руководящем документе Гостехкомиссии России, не отражает современных реалий и соответственно не позволяет, не только оценить возможности нарушителя по воздействию на АС, но и адекватно выбрать (разработать) механизмы защиты в зависимости от возможностей нарушителя.
Кроме того, очевидно, что источниками угроз НСД в АС кроме людей-нарушителей безопасности информации могут являться также:
программно-аппаратные закладки и вредоносные программы, которые после своего создания могут функционировать уже независимо от человека, который их создал и здесь определить такого человека-нарушителя практически невозможно.
Любой человек, хоть сколько-нибудь знакомый с современной организацией вычислительных систем, может легко определить более точную модель нарушителя. Например:
Общая характеристика категорий нарушителей безопасности информации в ас
С точки зрения наличия права постоянного или разового доступа в контролируемую зону ОИ нарушители подразделяются на два типа:
– нарушители, не имеющие права доступа в контролируемую зону территории (помещения) – внешние нарушители;
– нарушители, имеющие право доступа в контролируемую зону территории (помещения) – внутренние нарушители.
Внешними нарушителями могут являться:
– спецслужбы государств;
– криминальные структуры;
– конкуренты (конкурирующие организации);
– недобросовестные партнеры;
– внешние субъекты (физические лица).
Внешний нарушитель имеет следующие возможности:
– осуществлять деструктивные воздействия на каналы связи, выходящие за пределы контролируемой зоны;
– осуществлять деструктивные воздействия через автоматизированные рабочие места, подключенные к сетям общего пользования;
– осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;
– осуществлять деструктивные воздействия через элементы информационной инфраструктуры АС, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами контролируемой зоны;
– осуществлять деструктивные воздействия через технические средства взаимодействующих ведомств, организаций и учреждений.
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к информационным ресурсам (ИР) и контролю порядка проведения работ.
Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к информационным ресурсам.
Категория 1 – это лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР.
К этому типу нарушителей относятся охранники, энергетики, сантехники, уборщицы и другие должностные лица, обеспечивающие нормальное функционирование защищаемого объекта.
Лицо, относящееся к категории 1, может:
– иметь доступ к фрагментам информации, распространяющейся по внутренним каналам связи защищаемого объекта;
– располагать фрагментами информации о топологии сети (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;
– располагать именами и вести разведку паролей зарегистрированных пользователей;
– изменять конфигурацию технических средств обработки информации и вносить программно-аппаратные закладки в защищаемую систему и обеспечивать съем информации, используя непосредственное подключение к техническим средствам обработки информации.
Категория 2 – это зарегистрированные пользователи информационных ресурсов, осуществляющие ограниченный доступ к ресурсам АС с рабочего места.
Лицо, относящееся к категории 2:
- обладает всеми возможностями лиц категории 1;
– знает по меньшей мере одно легальное имя доступа;
– обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ИР;
– располагает конфиденциальными данными, к которым имеет доступ.
Доступ пользователя (категории 2), его аутентификация и права, которыми он обладает по доступу к некоторому подмножеству информационных ресурсов, должны регламентироваться соответствующими правилами разграничения доступа.
Категория 3 – это зарегистрированный пользователь информационных ресурсов, осуществляющий удаленный доступ к ИР по ЛВС.
Лицо, относящееся к категории 3:
– обладает всеми возможностями лиц категорий 1 и 2;
– располагает информацией о топологии ЛВС, через которую он осуществляет доступ, и составе технических средств обработки информации на защищаемом объекте;
– имеет возможность прямого (физического) доступа к фрагментам технических средств ЛВС.
Категория 4 – это зарегистрированный пользователь информационных ресурсов с полномочиями администратора безопасности структурного подразделения защищаемого объекта.
Лицо, относящееся к категории 4:
– обладает всеми возможностями лиц категории 3;
– обладает полной информацией о системном и прикладном программном обеспечении, используемом в его подразделении;
– обладает полной информацией о технических средствах и конфигурации сети своего подразделения;
– имеет доступ к средствам защиты информации и протоколирования, а также к части ключевых элементов, используемых в его подразделении;
– имеет доступ ко всем техническим средствам обработки информации и данным своего подразделения;
– обладает правами конфигурирования и административной настройки некоторого подмножества технических средств обработки информации.
Категория 5 – это зарегистрированный пользователь с полномочиями системного администратора информационных ресурсов.
Лицо, относящееся к категории 5:
– обладает всеми возможностями лиц категории 3;
– обладает полной информацией о системном и прикладном программном обеспечении объекта;
– обладает полной информацией о технических средствах и конфигурации сети;
– имеет доступ ко всем техническим средствам обработки информации и данным;
– обладает правами конфигурирования и административной настройки технических средств обработки информации объекта.
Системный администратор выполняет конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД.
Категория 6 – это зарегистрированный пользователь с полномочиями администратора безопасности защищаемого объекта.
Лицо, относящееся к категории 6 :
– обладает всеми возможностями лиц категории 5;
– обладает полной информацией о вычислительной сети защищаемого объекта;
– имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов;
– не имеет прав доступа к конфигурированию технических средств сети за исключением инспекционных.
Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.
Категория 7 – это программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте.
Лицо, относящееся к категории 7:
– обладает информацией об алгоритмах и программах обработки информации на объекте;
– обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение объекта на стадии его разработки, внедрения и сопровождения;
– может располагать любыми фрагментами информации о топологии ЛВС и технических средствах обработки и защиты информации на объекте.
Категория 8 – это разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на защищаемом объекте.
Лицо, относящееся к категории 8:
– обладает возможностями внесения закладок в технические средства объекта на стадии их разработки, внедрения и сопровождения;
– может располагать любыми фрагментами информации о топологии ЛВС и технических средствах обработки и защиты информации на объекте.
Возможны также другие категории нарушителей, которые должны уточняться в зависимости от организационно-штатной структуры ОИ.
При этом очевидно, что для каждой из указанных категорий возможных нарушителей должны предприниматься свои меры защиты! Особенно это актуально на критически важных объектах, нарушение функционирования которых может привести, например, к человеческим жертвам, экологической катастрофе и т.п. Однако, судя по руководящим документам, технических требований для принятия мер защиты, например, от администратора-нарушителя не предусмотрено (хоть о такой категории лиц и заявлено)!
Особо стоит обсудить положение о том, что в своем уровне нарушитель является специалистом высшей квалификации, знает все об автоматизированной системе и, в частности, о средствах ее защиты. Очевидно, что от такого человека защититься просто невозможно, так как в таком случае он должен знать все пароли, уязвимости и недокументированные возможности, которые имеются во всех современных системах (и это постоянно подтверждается практикой эксплуатации современных вычислительных систем). Кроме этого, в современных вычислительных системах всегда существует возможность скрыть следы своих действий, т.к. вся регистрация событий в системе выполняется её же средствами, что позволяет злоумышленнику (в случае удачного взлома системы) использовать эти средства регистрации в своих целях.
В этой связи, для более точного отражения действительности, необходимо использовать динамические (т.е. зависящие от времени модели) знаний уязвимостей вычислительной системы, как злоумышленника, так и разработчиков средств защиты.
На практике же это давно учитывается, например, требованием постоянно обновлять программное обеспечение, особенно включая операционные системы, антивирусные базы и т.д.
Как уже говорилось, кроме нарушителей существуют также и другие источники угроз безопасности информации. Это программно-аппаратные закладки и вредоносные программы, возможности которых также необходимо оценить, чтобы предложить адекватные меры защиты. Рассмотрим их подробнее.