скачать книгу бесплатно
– застосовуе пасивнi засоби (технiчнi засоби перехоплення без модифiкацii компонентiв системи);
– використовуе тiльки штатнi засоби та недолiки системи захисту для ii подолання (несанкцiонованi дii з використанням дозволених засобiв), а також компактнi носii iнформацii, якi можуть бути тайком пронесенi крiзь пости охорони;
– застосовуе методи та засоби активного впливу (модифiкацiя та пiдключення додаткових технiчних засобiв, перехоплення з каналiв передачi даних, впровадження спецiальних програмних закладок).
За часом дii (в залежностi вiд активностi або пасивностi системи):
– у процесi функцiонування (пiд час роботи компонентiв системи);
– у перiод неактивностi системи (у неробочий час, пiд час планових перерв у ii роботi, перерв для обслуговування та ремонтiв i т.д.);
– як у процесi функцiонування, так i в перiод неактивностi системи.
За мiсцем дii (в залежностi вiд територii доступу до засобiв системи):
– без доступу на контрольовану територiю органiзацii;
– з контрольованоi територii без доступу до будiвель та споруджень;
– усерединi примiщень, але без доступу до технiчних засобiв;
– з робочих мiсць кiнцевих користувачiв (операторiв);
– з доступом у зону даних (баз даних, архiвiв тощо);
– з доступом у зону управлiння засобами забезпечення безпеки.
Враховуються також такi обмеження та припущення про характер дiй можливих порушникiв:
– робота з пiдбору та розстановки кадрiв, а також заходи контролю за персоналом ускладнюють можливiсть створення коалiцiй порушникiв, тобто злочинного угрупування (змови) i цiлеспрямованих дiй з подолання системи захисту двох i бiльше порушникiв;
– порушник, плануючи спробу НСД, приховуе своi несанкцiонованi дii вiд iнших спiвробiтникiв;
– НСД може бути наслiдком помилок користувачiв, адмiнiстраторiв, а також хиб прийнятоi технологii обробки iнформацii тощо.
Припускаеться, що в своему рiвнi порушник – це фахiвець вищоi квалiфiкацii, який мае повну iнформацiю про ІТС i засоби захисту. Така класифiкацiя порушникiв е корисною для використання в процесi оцiнки ризикiв, аналiзу вразливостi системи, ефективностi iснуючих i планових заходiв захисту.
Пiд час формування моделi порушника обов'язково повинно бути визначено:
– ймовiрнiсть реалiзацii загрози,
– своечаснiсть виявлення,
– вiдомостi про порушення.
Слiд зауважити, що всi злочини, зокрема i комп’ютернi, здiйснюються людиною. Користувачi ІТС, з одного боку, е ii складовою частиною, а з iншого – основною причиною i рухаючою силою порушень i злочинiв. Отже, питання безпеки захищених ІТС фактично е питанням людських вiдносин та людськоi поведiнки.
Модель порушникiв можна вiдобразити системою таблиць.
Для побудови моделi використовуються усi можливi категорii, ознаки та характеристики порушникiв для бiльш точного iх аналiзу, причому рiвень загрози кожноi з них оцiнюеться за 4-бальною шкалою.
Пiсля зведення усiх даних варiанту внутрiшнього порушника «ПВ» (мiнiмальнi загрози з причини безвiдповiдального ставлення до виконання своiх посадових обов’язкiв) в одну таблицю отримаемо «Модель внутрiшнього порушника полiтики безпеки iнформацii».
Висновок: з останньоi таблицi видно, що найбiльшу загрозу, що мае вiдношення до проблеми захисту iнформацii, становить адмiнiстратор ІТС. Тому органiзацiя роботи цiеi особи повинна бути найбiльш контрольованою, оскiльки вона е основним потенцiйним порушником безпеки iнформацii.
Те, що основною загрозою для безпеки iнформацii в ІТС е персонал ІТС, пiдтверджують i данi, опублiкованi у 2010 роцi американським iнститутом комп?ютерноi безпеки (Сан-Франциско, штат Калiфорнiя), згiдно з якими порушення захисту комп'ютерних систем вiдбуваеться з таких причин:
– несанкцiонований доступ – 2%;
– ураження вiрусами – 3%;
– технiчнi вiдмови апаратури мережi – 20%;
– цiлеспрямованi дii персоналу – 20%;
– помилки персоналу (недостатнiй рiвень квалiфiкацii) – 55%.
Таким чином, основною потенцiйною загрозою для iнформацii в ІТС слiд вважати цiлеспрямованi або випадковi деструктивнi дii персоналу, оскiльки вони становлять 75% усiх випадкiв.
5. Модель загроз для iнформацii в ІТС
Пiсля проведення обстеження всiх середовищ ІТС необхiдно визначити всi можливi потенцiйнi загрози для ІТС. Походження загроз може бути випадковим i навмисним.
Випадкове походження обумовлюеться спонтанними i не залежними вiд волi людей обставинами, що виникають в ІТС в процесi ii функцiонування. Найбiльш вiдомими випадковими загрозами е стихiйнi лиха, вiдмови, збоi, помилки та побiчнi впливи.
Сутнiсть цих загроз (окрiм стихiйних лих, сутнiсть яких незрозумiла) визначаеться таким чином:
– вiдмова – порушення працездатностi системи, що призводить до неможливостi виконання нею основних своiх функцiй;
– збiй – тимчасове порушення працездатностi системи, наслiдком чого може бути неправильне виконання у цей момент своiх функцiй;
– помилка – неправильне виконання системою своiх функцiй, що вiдбуваеться внаслiдок ii специфiчного стану;
– побiчний вплив – негативний вплив на систему, який чиниться будь-якими явищами, що вiдбуваються всерединi системи або у зовнiшньому середовищi.
Навмисне походження загроз обумовлюеться зловмисними дiями людей.
Передумови появи загроз можуть бути об'ективними та суб'ективними. Об'ективнi передумови можуть бути спричиненi кiлькiсною або якiсною недостатнiстю елементiв системи тощо. До суб'ективних передумов вiдносяться рiзновиди людськоi дiяльностi: iноземна розвiдка, промислове шпигунство, злочиннi дii, неякiсна робота персоналу ІТС.
Перерахованi рiзновиди передумов iнтерпретуються таким чином:
– кiлькiсна недостатнiсть – фiзична нестача одного або декiлькох елементiв системи, що викликае порушення технологiчного процесу обробки даних i / або перевантаження наявних елементiв.
– якiсна недостатнiсть – недосконалiсть конструкцii (органiзацii) елементiв системи, в силу цього можуть з'являтися можливостi випадкового або навмисного негативного впливу на оброблювану або збережену iнформацiю.
Джерело загрози – це безпосереднiй iх генератор або носiй. Таким джерелом можуть бути люди, технiчнi засоби, моделi (алгоритми), а також – програми, технологiчнi схеми обробки, зовнiшне середовище.
Спробуемо тепер, спираючись на наведену системну класифiкацiю загроз безпеки iнформацii, визначити всю кiлькiсть загроз, потенцiйно можливих у сучасних ІТС. При цьому ми повиннi врахувати не лише всi вiдомi загрози, але й тi загрози, що ранiше не виявлялися, але потенцiйно можуть виникнути при застосуваннi нових концепцiй архiтектурноi побудови ІТС i технологiчних схем обробки iнформацii.
Всi можливi канали витоку iнформацii (КВІ) класифiкуються за двома критерiями:
– наявнiсть доступу до ІТС;
– стан функцiонування ІТС.
За першим критерiем КВІ можуть бути роздiленi на такi, що:
– не вимагають доступу, тобто дозволяють отримувати необхiдну iнформацiю дистанцiйно (наприклад, шляхом вiзуального спостереження через вiкна примiщень ІТС),
– вимагають доступу в примiщення ІТС. У свою чергу, такi канали можуть не залишити слiдiв в ІТС (наприклад, вiзуальний перегляд зображень на екранах монiторiв або документiв на паперових носiях), а можуть i залишити тi чи iншi слiди (наприклад, розкрадання документiв або машинних носiiв iнформацii).
За другим критерiем КВІ можуть бути роздiленi на:
– потенцiйно iснуючi незалежно вiд стану ІТС (наприклад, викрадати носii iнформацii можна незалежно вiд того, в робочому станi знаходяться засоби АС чи нi);
– iснуючi тiльки в робочому станi ІТС (наприклад, побiчнi електромагнiтнi випромiнювання та наведення).
В результатi такоi класифiкацii отримаемо 6 класiв КВІ, якi мають таку орiентовну характеристику:
– 1-й клас – КВІ, якi проявляються безвiдносно до обробки iнформацii без доступу до елементiв ІТС (пiдслуховування розмов, а також провокування на розмови осiб, що мають вiдношення до ІТС, i використання зловмисником вiзуальних, оптичних та акустичних засобiв);
– 2-й клас – КВІ, якi проявляються у процесi обробки iнформацii без доступу до елементiв ІТС (електромагнiтнi випромiнювання рiзних пристроiв ІТС, апаратури та лiнiй зв'язку, паразитнi наведення в ланцюгах харчування, телефонних мережах, системах теплопостачання, вентиляцii тощо);
– 3-й клас – КВІ, якi проявляються безвiдносно до обробки iнформацii з доступом до елементiв ІТС, але без змiни останнiх (всiлякi види копiювання носiiв iнформацii i документiв, а також розкрадання виробничих вiдходiв);
– 4-й клас – КВІ, якi проявляються у процесi обробки iнформацii з доступом до елементiв ІТС, але без змiни останнiх (запам'ятовування та копiювання iнформацii в процесi обробки, використання програмних закладок тощо);
– 5-й клас – КВІ, якi проявляються безвiдносно до обробки iнформацii з доступом до елементiв ІТС i зi змiною останнiх (пiдмiна та розкрадання носiiв iнформацii й апаратури, впровадження у програмне забезпечення шкiдливих кодiв, вiрусiв тощо);
– 6-й клас – КВІ, якi проявляються у процесi обробки iнформацii з доступом до елементiв ІТС i зi змiною останнiх (незаконне пiдключення до апаратури та лiнiй зв'язку, а також зняття iнформацii з лiнiй живлення рiзних елементiв ІТС).
На пiдставi Акту обстеження та Моделi порушника полiтики безпеки СЗІ розробляе «Модель загроз дляiнформацii в ІТС», яка затверджуеться керiвником органiзацii-власника (розпорядника) ІТС, та вноситься, за необхiдностi, до вiдповiдних роздiлiв Плану захисту та Технiчного завдання на створення КСЗІ. Модель загроз мае мiстити формалiзований або неформалiзований опис методiв i засобiв здiйснення загроз для iнформацii, яка потребуе захисту.
Модель загроз повинна визначити:
– перелiк можливих типiв загроз, класифiкований за результатом впливу на iнформацiю, тобто на порушення яких ii властивостей вони спрямованi (конфiденцiйностi, цiлiсностi або доступностi iнформацii);
– перелiк можливих способiв реалiзацii загроз певного типу (способiв атак) вiдносно рiзних iнформацiйних об’ектiв ІТС у рiзному станi класифiкований, наприклад, за такими ознаками, як компонент обчислювальноi системи ІТС або програмний засiб, уразливостi яких експлуатуються порушником, причини виникнення вiдповiдноi уразливостi тощо.
Загрози для iнформацii, що обробляеться в ІТС, залежать вiд характеристик ОС, апаратного складу, програмних засобiв, фiзичного середовища, персоналу, технологiй обробки та iнших чинникiв i можуть мати об'ективну або суб'ективну природу.
Загрози, що мають суб'ективну природу, подiляються на випадковi (ненавмиснi) та навмиснi. Мають бути визначенi основнi види загроз для безпеки iнформацii, якi можуть бути реалiзованi стосовно ІТС i повиннi враховуватись у моделi загроз, наприклад:
– змiна умов фiзичного середовища (стихiйнi лиха i аварii, як землетрус, повiнь, пожежа або iншi випадковi подii);
– збоi та вiдмови у роботi технiчних або програмних засобiв (далi – ПЗ) ІТС;
– наслiдки помилок пiд час проектування та розробки компонентiв ІТС (технiчних засобiв, технологii обробки iнформацii, ПЗ, засобiв захисту, структур даних тощо);
– помилки персоналу (користувачiв) ІТС пiд час експлуатацii;
– навмиснi дii (спроби) потенцiйних порушникiв.
Випадковi загрози суб’ективноi природи – це помилковi дii персоналу по неуважностi, недбалостi, незнанню тощо, але без навмисного намiру.
До них вiдносяться:
– дii, що призводять до вiдмови ІТС (окремих компонентiв), руйнування апаратних, програмних, iнформацiйних ресурсiв (обладнання, каналiв зв’язку, видалення даних, програм тощо);
– ненавмисне пошкодження носiiв iнформацii;
– неправомiрна змiна режимiв роботи ІТС (окремих компонентiв, обладнання, ПЗ тощо), iнiцiювання тестуючих або технологiчних процесiв, якi здатнi призвести до незворотних змiн у системi (наприклад, форматування носiiв iнформацii);
– неумисне зараження ПЗ комп’ютерними вiрусами;
– невиконання вимог до органiзацiйних заходiв захисту чинних в ІТС розпорядчих документiв;
– помилки пiд час введення даних в систему, виведення даних за невiрними адресами пристроiв, внутрiшнiх i зовнiшнiх абонентiв тощо;
– будь-якi дii, що можуть призвести до розголошення конфiденцiйних вiдомостей, атрибутiв розмежування доступу, втрати атрибутiв тощо;
– неправомiрне впровадження та використання заборонених полiтикою безпеки ПЗ (наприклад, навчальнi та iгровi програми, системне i прикладне забезпечення тощо);
– наслiдки некомпетентного застосування засобiв захисту тощо.
Навмиснi загрози суб’ективноi природи – це дii порушника, спрямованi на проникнення в систему та одержання можливостi НСД до ii ресурсiв або дезорганiзацiю роботи ІТС та виведення ii з ладу.
До них вiдносяться:
– порушення фiзичноi цiлiсностi ІТС (окремих компонентiв, пристроiв, обладнання, носiiв iнформацii);
– порушення режимiв функцiонування (виведення з ладу) систем життезабезпечення ІТС (електроживлення, заземлення, охоронноi сигналiзацii, кондицiонування тощо.);
– порушення режимiв функцiонування ІТС (обладнання i ПЗ);
– впровадження та використання комп’ютерних вiрусiв, закладних (апаратних i програмних) i пiдслуховуючих пристроiв, iнших засобiв розвiдки;
– використання (шантаж, пiдкуп тощо) з корисливою метою персоналу ІТС;
– крадiжки носiiв iнформацii, виробничих вiдходiв (роздрукiв, записiв, тощо);
– несанкцiоноване копiювання носiiв iнформацii;
– читання залишковоi iнформацii з оперативноi пам’ятi ЕОТ, зовнiшнiх накопичувачiв;
– одержання атрибутiв доступу з наступним iх використанням для маскування пiд зареестрованого користувача;
– неправомiрне пiдключення до каналiв зв’язку, перехоплення даних, що передаються, аналiз трафiку тощо;
