1. Модель внешнего нарушителя

Внешний нарушитель не имеет непосредственного доступа к системам и ресурсам, находящимся в пределах контролируемой зоны защищаемого объекта, на котором функционирует ИВС предприятия. Этот нарушитель может осуществлять атаки только с территории, расположенной вне контролируемой зоны по внешним каналам связи с целью поиска уязвимостей сетей, исследования топологии сети и инвентаризации сетевых сервисов.

Внешний нарушитель имеет следующие возможности:

- осуществлять доступ к каналам связи, выходящим за пределы служебных помещений;

- осуществлять доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;

- осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий;

Предположения о квалификации внешнего нарушителя формулируются следующим образом.

Внешний нарушитель:

- имеет информацию о сетевом и канальном оборудовании, протоколах передачи данных, используемых в ИВС предприятия;

- знает особенности системного и прикладного программного обеспечения, а также технических средств;

- знает функциональные особенности работы системы и закономерности формирования в ней массивов информации и потоков запросов к ним.

Для проведения полноценного анализа реализации компьютерных атак внешний нарушитель должен располагать информацией о топологии сети связи и об используемых в сети коммуникационных протоколах и их сервисах, кроме того, он должен располагать сетевыми адресами и архитектурой сети и системы защиты. Для получения этой информации он предварительно должен провести сбор и анализ информации об объекте, доступной из открытых источников.

2. Модель внутреннего нарушителя

Предположения о квалификации внутреннего нарушителя формулируются следующим образом:

- является специалистом средней квалификации в области разработки и эксплуатации программного обеспечения и технических средств, знает специфику задач, решаемых в ИВС, является системным программистом, способным программно модифицировать работу операционных, в том числе сетевых операционных систем, но не обладает знаниями о недокументированных возможностях программного обеспечения и аппаратных средств;

- правильно представляет функциональные особенности работы ИВС предприятия.

В данной методике внутренние нарушители подразделяются на две категории (Н и Р) в зависимости от способа доступа и полномочий доступа.

Категория Н: Лица, имеющие санкционированный доступ в контролируемую зону (помещения с оборудованием) объекта, на котором функционирует ИВС, но не имеющую доступа к самой Системе (незарегистрированный пользователь).

Лица, относящиеся к этой категории:

- могут иметь доступ к любым фрагментам информации о терминальном и серверном оборудовании и установленном на них программном обеспечении, а также информации, распространяющейся по внутренним каналам связи;

- могут располагать любыми фрагментами информации о топологии сети (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;

- могут располагать именами и вести выявление паролей зарегистрированных пользователей.

Категория Р: зарегистрированный пользователь, осуществляющий доступ к ИВС предприятия с рабочего места и имеющий ограниченные права доступа.

Лицо, относящееся к категории Р:

• обладает всеми возможностями лиц категории Н;

• знает по меньшей мере одно легальное имя доступа (способ доступа);

• обладает всеми необходимыми атрибутами, обеспечивающими доступ (например, паролем), обеспечивающим доступ к некоторому подмножеству данных.