Комплексное обеспечение защиты информации объекта информатизации. КОЗИОБ. Совершенствование комплексной системы информации Группа предприятий готэк
 Скачать 46.79 Kb.
|
1.3 Угрозы и средства защиты информации на предприятиигроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее По способам воздействия на объекты информационной безопасности угрозы, актуальные для общества, подлежат следующей классификации: информационные, программные, физические, организационно-правовые. К информационным угрозам относятся: · несанкционированный доступ к информационным ресурсам; · хищение информации из архивов и баз данных; · нарушение технологии обработки информации; · противозаконный сбор и использование информации; К программным угрозам относятся: · компьютерные вирусы и вредоносные программы; К физическим угрозам относятся: · уничтожение или разрушение средств обработки информации и связи; · хищение носителей информации; · воздействие на персонал; К организационно-правовым угрозам относятся: · закупки несовершенных или устаревших информационных технологий и средств информатизации; Средства защиты информации -- это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации. Рассмотрим средства защиты информации, применяемые на предприятии. Всего их существует четыре (аппаратные, программные, смешанные, организационные). Аппаратные средства защиты - замки, решетки на окнах, защитная сигнализация, сетевые фильтры, камеры видеонаблюдения. Программные средства защиты: используются средства операционной системы, такие как защита, паролем, учетные записи. Организационные средства защиты: подготовка помещений с компьютерами. 1.3 Модель вероятного нарушителя информационной безопасностиВсе нарушители делятся на две группы: − внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование МИС; − внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование. Внешний нарушитель В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны. Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в «Группа предприятий ГОТЭК», является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки. Внутренний нарушитель Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированных действий.К внутренним нарушителям могут относиться: − администраторы (категория I); − администраторы конкретных подсистем или баз данных (категория II); − пользователи (категория III); − пользователи, являющиеся внешними по отношению к конкретной АС (категория IV); − лица, обладающие возможностью доступа к системе передачи данных (категория V); − сотрудники, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются ресурсы ИС, но не имеющие права доступа к ресурсам (категория VI); − обслуживающий персонал (охрана, работники инженерно– технических служб и т.д.) (категория VII); − уполномоченный персонал разработчиков, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов. На лиц категорий I и II возложены задачи по администрированию программно-аппаратных средств и баз данных для интеграции и обеспечения взаимодействия различных подсистем. Администраторы потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИС, а также к техническим и программным средствам ИС, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них административными полномочиями. Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников). Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием. К лицам категорий I и II ввиду их исключительной роли должен применяться комплекс особых организационных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Предполагается, что в число лиц категорий I и II будут включаться только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей. Предполагается, что лица категорий III-VIII относятся к вероятным нарушителям. Предполагается, что возможность сговора внутренних нарушителей маловероятна ввиду принятых организационных и контролирующих мер. Предположения об имеющейся у нарушителя информации об объектах реализации угроз В качестве основных уровней знаний нарушителей об АС можно выделить следующие: − информации о назначения и общих характеристиках ИС; − информация, полученная из эксплуатационной документации; − информация, дополняющая эксплуатационную информацию об ИС (например, сведения из проектной документации ИС). В частности, нарушитель может иметь: − данные об организации работы, структуре и используемых технических, программных и программно-технических средствах ИС; − сведения об информационных ресурсах ИС: порядок и правила создания, хранения и передачи информации, структура и свойства информационных потоков; − данные об уязвимостях, включая данные о недокументированных (недекларированных) возможностях технических, программных и программно-технических средств ИС; − данные о реализованных в ПСЗИ принципах и алгоритмах; − исходные тексты программного обеспечения ИС; − сведения о возможных каналах реализации угроз; − информацию о способах реализации угроз. Предполагается, что лица категории III и категории IV владеют только эксплуатационной информацией, что обеспечивается организационными мерами. При этом лица категории IV не владеют парольной, аутентифицирующей и ключевой информацией, используемой в АИС, к которым они не имеют санкционированного доступа. Предполагается, что лица категории V владеют в той или иной части чувствительной и эксплуатационной информацией о системе передачи информации и общей информацией об АИС, использующих эту систему передачи информации, что обеспечивается организационными мерами. При этом лица категории V не владеют парольной и аутентифицирующей информацией, используемой в АИС. Предполагается, что лица категории VI и лица категории VII по уровню знаний не превосходят лица категории V. Предполагается, что лица категории VIII обладают чувствительной информацией об ИС и функционально ориентированных АИС, включая информацию об уязвимостях технических и программных средств ИС. Организационными мерами предполагается исключить доступ лиц категории VIII к техническим и программным средствам МИС в момент обработки с использованием этих средств защищаемой информации. Таким образом, наиболее информированными об АИС являются лица категории III и лица категории VIII. Степень информированности нарушителя зависит от многих факторов, включая реализованные в ЛПУ конкретные организационные меры и компетенцию нарушителей. Поэтому объективно оценить объем знаний вероятного нарушителя в общем случае практически невозможно. В связи с изложенным, с целью создания необходимых условий безопасности персональных данных предполагается, что вероятные нарушители обладают всей информацией, необходимой для подготовки и реализации угроз, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная, аутентифицирующая и ключевая информация. 3.3 Предположения об имеющихся у нарушителя средствах реализации угроз Предполагается, что нарушитель имеет: − аппаратные компоненты СЗПДн и СФ СЗПДн; − доступные в свободной продаже технические средства и программное обеспечение; − специально разработанные технические средства и программное обеспечение. Внутренний нарушитель может использовать штатные средства. Состав имеющихся у нарушителя средств, которые он может использовать для реализации угроз ИБ, а также возможности по их применению зависят от многих факторов, включая реализованные на объектах ЛПУ конкретные организационные меры, финансовые возможности и компетенцию нарушителей. Поэтому объективно оценить состав имеющихся у нарушителя средств реализации угроз в общем случае практически невозможно. Поэтому, для определения актуальных угроз и создания СЗПДн предполагается, что вероятный нарушитель имеет все необходимые для реализации угроз средства, возможности которых не превосходят возможности аналогичных средств реализации угроз на информацию, содержащую сведения, составляющие государственную тайну, и технические и программные средства, обрабатывающие эту информацию. Вместе с тем предполагается, что нарушитель не имеет: − средств перехвата в технических каналах утечки; − средств воздействия через сигнальные цепи (информационные и управляющие интерфейсы СВТ); − средств воздействия на источники и через цепи питания; − средств воздействия через цепи заземления; − средств активного воздействия на технические средства (средств облучения). Предполагается, что наиболее совершенными средствами реализации угроз обладают лица категории III и лица категории VIII.В таблице 1 представлена модель угроз. Таблица 1. Модель угроз.
Продолжение таблицы 1.
Продолжение таблицы 1.
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||