шгдш. 3.2 Конспект лекций ЗИвТС. Конспект лекций по курсу Защита информации в телекоммуникационных системах Буя П. М. Тема 1 Основные понятия и терминология защиты информации 1 Основные понятия

Название	Конспект лекций по курсу Защита информации в телекоммуникационных системах Буя П. М. Тема 1 Основные понятия и терминология защиты информации 1 Основные понятия
Дата	14.10.2022
Размер	1.52 Mb.
Формат файла
Имя файла	3.2 Конспект лекций ЗИвТС.doc
Тип	Конспект #734516
страница	1 из 12

1 2 3 4 5 6 7 8 9 ... 12

Конспект лекций

по курсу «Защита информации в телекоммуникационных системах»

Буя П.М.

Тема 1 – Основные понятия и терминология защиты информации

1.1 Основные понятия

Согласно государственному стандарту Республики Беларусь 50922-2000 «Защита информации. Основные термины и определения» в Республике Беларусь установлены следующие основные термины и определения понятий в области защиты информации (приведены некоторые из них):

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником (государство, юридическое лицо, группа физических лиц или отдельное физическое лицо) информации.

Защита информации (ЗИ) – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и преднамеренных воздействий на защищаемую информацию.

Защита информации от утечки – деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.

Защита информации от несанкционированного воздействия (НСВ) – деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от непреднамеренного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от разглашения – деятельность, направленная на предотвращение несанкционированного доведения защищаемой информации до потребителей, не имеющих права доступа к этой информации.

Защита информации от несанкционированного доступа (НСД) – деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом (государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо) с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

Защита информации от разведки – деятельность, направленная на предотвращение получения защищаемой информации разведкой, как иностранной, так и отечественной.

Цель защиты информации – заранее намеченный результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

Замысел защиты информации – основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.

Эффективность защиты информации – степень соответствия результатов защиты информации поставленной цели.

Показатель эффективности защиты информации – мера или характеристика для оценки эффективности защиты информации.

Организация защиты информации – содержание и порядок действий, направленных на обеспечение защиты информации.

Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации.

Мероприятие по защите информации – совокупность действий, направленных на разработку и (или) практическое применение способов и средств защиты информации.

Техника защиты информации – средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Объект защиты информации – информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.

Способ защиты информации – порядок и правила применения определенных принципов и средств защиты информации.

Контроль состояния защиты информации – проверка соответствия организации и эффективности защиты информации установленным требованиям и (или) нормам защиты информации.

Средство защиты информации – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Контроль организации защиты информации – проверка соответствия организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов в области защиты информации.

Рисунок 1.1

Кроме этого важными являются следующие термины:

Безопасность объекта – защищенность объекта от случайного или преднамеренного вмешательства в нормальный процесс его функционирования по хранению и обработке информации, а также от попыток хищения, изменения или разрушения его компонентов.

Угроза безопасности объекта – возможное воздействие на объект, которое прямо или косвенно может нанести ущерб его безопасности.

Уязвимость объекта – это присущие объекту причины, приводящие к нарушению безопасности информации на объекте.

Безопасный или защищенный объект – это объект со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Комплекс средств защиты – совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности объекта.

Политика безопасности – это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты объектов от заданного множества угроз безопасности.

1.2 Задачи в сфере обеспечения информационной безопасности

Для эффективного обеспечения безопасности информации требуется создание развитого методологического базиса, позволяющего решить следующие комплексные задачи:

создать систему органов, ответственных за безопасность информации;
разработать теоретико-методологические основы обеспечения безопасности информации;
решить проблему управления защитой информации и ее автоматизации;
создать нормативно-правовую базу, регламентирующую решение всех задач обеспечения безопасности информации;
наладить производство средств защиты информации;
организовать подготовку специалистов по защите информации;
подготовить нормативно-методическую базу для проведения работ по обеспечению безопасности информации.

Более подробно цели и содержание перечисленных задач приведены в таблице 1.1.

Государственная политика в сфере формирования информационных ресурсов и информатизации должна быть направлена на создание условий для эффективного и качественного информационною обеспечения решения стратегических и оперативных задач социального и экономического развития страны.

Основными направлениями государственной политики в сфере информатизации являются:

обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;
формирование и защита государственных информационных ресурсов;
создание и развитие и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве;
создание условий для качественного и эффективного информационного обеспечения граждан, органов государственной власти, организаций и общественных объединений на основе государственных информационных ресурсов;
обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан и организаций в условиях информатизации;
содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий и средств их обеспечения;
формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий;
поддержка проектов и программ информатизации;
создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;
развитие законодательства в сфере информационных процессов, информатизации и защиты информации.

Таблица 1.1 – Комплексные задачи обеспечения безопасности информации

Задача	Цель решения	Общее содержание
Создание системы органов, ответственных за безопасность и информации	Создание стройной системы органов, необходимых и достаточных для эффективного решения всех задач обеспечения безопасности информации на общегосударственном, региональном (ведомственном) и объектовом уровнях	Создание органов, осуществляющих: управление процессами обеспечения безопасности; проведение научно-исследовательской работы; разработку и производство необходимых средств; практическое решение задач обеспечения безопасности информации на объектах; подготовку, повышение квалификации и переподготовку кадров.
Разработка теоретико-методологического базиса обеспечения безопасности информации	Создание научно обоснованного базиса решения всех задач, связанных с обеспечением безопасности информации	Обоснование понятийного аппарата. Аналитико-синтетическая обработка имеющихся данных. Обоснование современной постановки задачи. Обоснование стратегических подходов к обеспечению безопасности. Разработка методов решения задач обеспечения безопасности. Обоснование структуры и содержания инструментально-методологической базы решения задач. Обоснование путей и способов решения задач обеспечения безопасности. Обоснование перспектив развития теории и практики обеспечения безопасности информации.
Решение проблемы управления защитой информации и ее автоматизации	Разработка методов и технологии управления защитой информации	Отработка принципов управления в рамках государственной СЗИ: 1) по трем основным уровням: во взаимодействии со структурами государственной власти; в регионах, территориально-промышленных зонах; на предприятиях, полигонах, объектах, в системах и комплексах. 2) в двух состояниях (режимах): повседневном (режим заблаговременного, планового осуществления мер по ЗИ); «быстрого реагирования» (режим принятия оперативных решений и осуществления мер по ЗИ). Создание систем управления защитой информации различного уровня и назначения.
Создание нормативно-правовой базы, регламентирующей решение задач обеспечения безопасности информации	Создание условий, необходимых для правового и нормативного регулирования решения всех задач обеспечения безопасности информации	Обоснование структуры и содержания нормативно-правовой базы. Разработка и организация принятия законов, регламентирующих деятельность в области обеспечения безопасности информации. Разработка, утверждение и распространение системы общегосударственных руководящих и методических материалов по обеспечению безопасности информации. Определение порядка разработки, утверждения региональных (ведомственных) документов по обеспечению безопасности информации. Разработка, утверждение и распространение комплекта типовых инструкций по решению задач обеспечения безопасности информации. Разработка и узаконивание правил сертификации средств и лицензирования деятельности по обеспечению безопасности информации.
Организация производства средств защиты информации на промышленной основе	Создание индустрии производства и распространения средств обеспечения безопасности информации	Обоснование перечня и содержания средств обеспечения безопасности. Создание системы предприятий и учреждений, производящих средства обеспечения безопасности. Определение порядка разработки, аттестации и распространения технических средств. Определение порядка разработки, аттестации и распространения программных средств. Определение порядка разработки, аттестации и распространения организационных средств. Определение порядка разработки, аттестации и распространения криптографических средств.
Организация системы подготовки кадров по безопасности	Создание регулярной системы подготовки специалистов по безопасности информации, необходимого количества и требуемых профилей	Разработка и научное обоснование концепции подготовки кадров по безопасности информации. Определение перечня учебных заведений, уполномоченных готовить кадры по безопасности информации, и распределение между ними функций. Организация подготовки молодых специалистов. Организация повышения квалификации специалистов по безопасности информации. Организация переподготовки специалистов другого профиля. Организация подготовки научно-педагогических кадров в области безопасности информации. Организация всеобуча по безопасности информации.
Создание системы документационно-методического обеспечения работ по безопасности информации	Создание регулярной системы обеспечения всех органов и специалистов по безопасности информации необходимыми источниками и пособиями	Разработка и научное обоснование системы документационно-методического обеспечения. Создание системы разработки, издания и распространения официальных документов. Создание системы разработки, издания и распространения трудов монографического характера. Создание системы разработки, издания и распространения учебно-методической литературы. Создание системы разработки, издания и распространения периодических изданий.

Тема 2 – Угрозы информационной безопасности

2.1 Классификация угроз информационной безопасности

Понятия угрозы безопасности объекта и уязвимости объекта были введены ранее. Для полного представления взаимодействия угрозы и объекта защиты введем понятия источника угрозы и атаки.

Угроза безопасности объекта – возможное воздействие на объект, которое прямо или косвенно может нанести ущерб его безопасности.

Источник угрозы – это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

Уязвимость объекта – это присущие объекту причины, приводящие к нарушению безопасности информации на объекте.

Атака – это возможные последствия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости. Атака – это всегда пара «источник – уязвимость», реализующая угрозу и приводящая к ущербу.

Рисунок 2.1

Предположим, студент ходит на учебу каждый день и при этом пересекает проезжую часть в неположенном месте. И однажды он попадает под машину, что причиняет ему ущерб, при котором он теряет трудоспособность и не может посещать занятия. Проанализируем данную ситуацию. Последствия в данном случае – это убытки, которые студент понес в результате несчастного случая. Угрозой у нас выступает автомобиль, который сбил студента. Уязвимостью явилось то, что студент пересекал проезжую часть в неустановленном месте. А источником угрозы в данной ситуации явилась та некая сила, которая не дала возможности водителю избежать наезда на студента.

С информацией не намного сложнее. Угроз безопасности информации не так уж и много. Угроза, как следует из определения, – это опасность причинения ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является «ущерб».

Проявления возможного ущерба могут быть различны:

моральный и материальный ущерб деловой репутации организации;
моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;
материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
моральный и материальный ущерб от дезорганизации деятельности организации;
материальный и моральный ущерб от нарушения международных отношений.

Классификация угроз информационной безопасности

Угрозами безопасности информации являются нарушения при обеспечении:

Конфиденциальности;
Доступности;
Целостности.

Конфиденциальность информации – это свойство информации быть известной только аутентифицированным законным ее владельцам или пользователям.

Нарушения при обеспечении конфиденциальности:

хищение (копирование) информации и средств ее обработки;
утрата (неумышленная потеря, утечка) информации и средств ее обработки.

Доступность информации – это свойство информации быть доступной для аутентифицированных законных ее владельцев или пользователей.

Нарушения при обеспечении доступности:

блокирование информации;
уничтожение информации и средств ее обработки.

Целостность информации – это свойство информации быть неизменной в семантическом смысле при воздействии на нее случайных или преднамеренных искажений или разрушающих воздействий.

Нарушения при обеспечении целостности:

модификация (искажение) информации;
отрицание подлинности информации;
навязывание ложной информации.

Классификация источников угроз

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации – внутренние источники, так и вне ее – внешние источники.

Все источники угроз безопасности информации можно разделить на три основные группы:

1 Обусловленные действиями субъекта (антропогенные источники угроз).

2 Обусловленные техническими средствами (техногенные источники угрозы).

3 Обусловленные стихийными источниками.

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.

В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации, могут быть как внешние, так и внутренние. Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации.

Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети.

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако последствия, вызванные такой деятельностью, вышли из-под контроля человека и существуют сами но себе. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием используемого оборудования, а также отсутствием материальных средств на его обновление. Технические средства, являющиеся источниками потенциальных угроз безопасности информации, также могут быть внешними и внутренними.

Третья группа источников угроз объединяет обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию, и поэтому меры защиты от них должны применяться всегда.

Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются, прежде всего, природные катаклизмы.

Классификация и перечень источников угроз приведены в таблице 2.1.

Таблица 2.1 – Классификация и перечень источников угроз информационной безопасности

Антропогенные источники	Внешние	Криминальные структуры
		Потенциальные преступники и хакеры
		Недобросовестные партнеры
		Технический персонал поставщиков телекоммуникационных услуг
		Представители надзорных организаций и аварийных служб
		Представители силовых структур
	Внутренние	Основной персонал (пользователи, программисты, разработчики)
		Представители службы защиты информации (администраторы)
		Вспомогательный персонал (уборщики, охрана)
		Технический персонал (жизнеобеспечение, эксплуатация)
Техногенные источники	Внешние	Средства связи
		Сети инженерных коммуникации (водоснабжения, канализации)
		Транспорт
	Внутренние	Некачественные технические средства обработки информации
		Некачественные программные средства обработки информации
		Вспомогательные средства (охраны, сигнализации, телефонии)
		Другие технические средства, применяемые в учреждении
Стихийные источники	Внешние	Пожары
		Землетрясения
		Наводнения
		Ураганы
		Магнитные бури
		Радиоактивное излучение
		Различные непредвиденные обстоятельства
		Необъяснимые явления
		Другие форс-мажорные обстоятельства

Все источники угроз имеют разную степень опасности К_опуг, которую можно количественно оценить, проведя их ранжирование. При этом оценка степени опасности проводится по косвенным показателям. В качестве критериев сравнения (показателей) можно выбрать:

возможность возникновения источника K₁ – определяет степень доступности к возможности использовать уязвимость для антропогенных источников, удаленность от уязвимости для техногенных источников или особенности обстановки для случайных источников;
готовность источника К₂ – определяет степень квалификации и привлекательность совершения деяний со стороны источника угрозы для антропогенных источников или наличие необходимых условий для техногенных и стихийных источников;
фатальность К₃ – определяет степень неустранимости последствий реализации угрозы.

Каждый показатель оценивается экспертно-аналитическим методом по пятибалльной системе. Причем, 1 соответствует самой минимальной степени влияния оцениваемого показателя на опасность использования источника, а 5 – максимальной.

К_опуг для отдельного источника можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125):

Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном объекте информатизации.

Уязвимости присущи объекту информатизации, неотделимы от него и обусловливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации). Кроме того, возможны не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.

Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.

Уязвимости безопасности информации могут быть:

объективными;
субъективными;
случайными.

Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации.

Субъективные уязвимости зависят от действий сотрудников и, в основном устраняются организационными и программно-аппаратными методами.

Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию, угрозам информационной безопасности.

Классификация и перечень уязвимостей информационной безопасности приведены в таблице 2.2.

Таблица 2.2 – Классификация и перечень уязвимостей информационной безопасности

Объективные уязвимости	Сопутствующие техническим средствам излучения	Электромагнитные	Побочные излучения элементов технических средств
			Кабельных линий технических средств
			Излучения на частотах работы генераторов
			На частотах самовозбуждения усилителей
		Электрические	Наводки электромагнитных излучений на линии и проводники
			Просачивание сигналов в цепи электропитания, в цепи заземления
			Неравномерность потребления тока электропитания
		Звуковые	Акустические
			Виброакустические
	Активизируемые	Аппаратные закладки устанавливаемые	В телефонные линии
			В сети электропитания
			В помещениях
			В технических средствах
		Программные закладки	Вредоносные программы
			Технологические выходы из программ
			Нелегальные копии ПО
	Определяемые особенностями элементов	Элементы, обладающие электроакустическими преобразованиями	Телефонные аппараты
			Громкоговорители и микрофоны
			Катушки индуктивности
			Дроссели
			Трансформаторы и пр.
		Элементы, подверженные воздействию электромагнитного поля	Магнитные носители
			Микросхемы
			Нелинейные элементы, подверженные ВЧ навязыванию
	Определяемые особенностями защищаемого объекта	Местоположением объекта	Отсутствие контролируемой зоны
			Наличие прямой видимости объектов
			Удаленных и мобильных элементов объекта
			Вибрирующих отражающих поверхностей
		Организацией каналов обмена информацией	Использование радиоканалов
			Глобальных информационных сетей
			Арендуемых каналов
Субъективные уязвимости	Ошибки (халатность)	При подготовке и использовании программного обеспечения	При разработке алгоритмов и программного обеспечения
			При инсталляции и загрузке программного обеспечения
			При эксплуатации программного обеспечения
			При вводе данных (информации)
			При настройке сервисов универсальных систем
			Самообучающейся (самонастраивающейся) сложной системы систем
		При эксплуатации технических средств	При включении/выключении технических средств
			При использовании технических средств охраны
		Некомпетентные действия	При конфигурировании и управлении сложной системы
			При настройке программного обеспечения
			При организации управления потоками обмена информации
			При настройке технических средств
			При настройке штатных средств защиты программного обеспечения
		Неумышленные действия	Повреждение (удаление) программного обеспечения
			Повреждение (удаление) данных
			Повреждение (уничтожение) носителей информации
			Повреждение каналов связи
	Нарушения	Режима охраны и защиты	Доступа на объект
			Доступа к техническим средствам
			Соблюдения конфиденциальности
		Режима эксплуатации технических средств и ПО	Энергообеспечения
			Жизнеобеспечения
			Установки нештатного оборудования
			Инсталляции нештатного ПО (игрового, обучающего, технологического)
		Использования информации	Обработки и обмена информацией
			Хранения и уничтожения носителей информации
			Уничтожения производственных отходов и брака
	Психогенные	Психологические	Антагонистические отношения (зависть, озлобленность, обида)
			Неудовлетворенность своим положением
			Неудовлетворенность действиями руководства (взыскание, увольнение)
			Психологическая несовместимость
		Психические	Психические отклонения
			Стрессовые ситуации
		Физиологические	Физическое состояние (усталость, болезненное состояние)
			Психосоматическое состояние
Случайные уязвимости	Сбои и отказы	Отказы и неисправности технических средств	Обрабатывающих информацию
			Обеспечивающих работоспособность средств обработки информации
			Обеспечивающих охрану и контроль доступа
		Старение и размагничивание носителей информации	Дискет и съемных носителей
			Жестких дисков
			Элементов микросхем
			Кабелей и соединительных линий
		Сбои программного обеспечения	Операционных систем и СУБД
			Прикладных программ
			Сервисных программ
			Антивирусных программ
		Сбои электроснабжения	Оборудования, обрабатывающего информацию
			Обеспечивающего и вспомогательного оборудования

Все уязвимости имеют разную степень опасности K_опуяз, которую можно количественно оценить, проведя их ранжирование. При этом в качестве критериев сравнения можно выбрать:

фатальность K₄ – определяет степень влияния уязвимости на неустранимость последствий реализации угрозы;
доступность K₅ – определяет возможность использования уязвимости источником угроз;
количество K₆ – определяет количество элементов объекта, которым характерен та или иная уязвимость.

K_опуяз для отдельной уязвимости можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125):

2.2 Модель нарушителя информационной безопасности

Модель нарушителя информационной безопасности – это набор предположений об одном или нескольких возможных нарушителях информационной безопасности, их квалификации, их технических и материальных средствах и т. д.

Правильно разработанная модель нарушителя является гарантией построения адекватной системы обеспечения информационной безопасности. Опираясь на построенную модель, уже можно строить адекватную систему информационной защиты.

Чаще всего строится неформальная модель нарушителя, отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей: способы реализации исходящих от него угроз, место и характер действия, возможная тактика и т. п. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы.

Определив основные причины нарушений, представляется возможным оказать на них влияние или необходимым образом скорректировать требования к системе защиты от данного типа угроз. При анализе нарушений защиты необходимо уделять внимание субъекту (личности) нарушителя. Устранение причин или мотивов, побудивших к нарушению, в дальнейшем может помочь избежать повторения подобного случая.

Модель может быть не одна, целесообразно построить несколько отличающихся моделей разных типов нарушителей информационной безопасности объекта защиты.

Для построения модели нарушителя используется информация, полученная от служб безопасности и аналитических групп, данные о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадиях их передачи, обработки и хранении, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях нарушения информационной безопасности и т. п.

Кроме этого оцениваются реальные оперативные технические возможности злоумышленника для воздействия на систему защиты или на защищаемый объект. Под техническими возможностями подразумевается перечень различных технических средств, которыми может располагать нарушитель в процессе совершения действий, направленных против системы информационной защиты.

Нарушители бывают внутренними и внешними.

Среди внутренних нарушителей в первую очередь можно выделить:

непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней;
администраторов вычислительных сетей и информационной безопасности;
прикладных и системных программистов;
сотрудников службы безопасности;
технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до сервисного инженера;
вспомогательный персонал и временных работников.

Среди причин, побуждающих сотрудников к неправомерным действиям, можно указать следующие:

безответственность;
ошибки пользователей и администраторов;
демонстрацию своего превосходства (самоутверждение);
«борьбу с системой»;
корыстные интересы пользователей системы;
недостатки используемых информационных технологий.

Группу внешних нарушителей могут составлять:

клиенты;
приглашенные посетители;
представители конкурирующих организаций;
сотрудники органов ведомственного надзора и управления;
нарушители пропускного режима;
наблюдатели за пределами охраняемой территории.

Помимо этого классификацию можно проводить по следующим параметрам.

Используемые методы и средства:

сбор информации и данных;
пассивные средства перехвата;
использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;
активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и «черных ходов» в систему, подключение к каналам передачи данных.

Уровень знаний нарушителя относительно организации информационной структуры:

типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;
высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;
высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;
обладание сведениями о средствах и механизмах защиты атакуемой системы;
нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.

Время информационного воздействия:

в момент обработки информации;
в момент передачи данных;
в процессе хранения данных (учитывая рабочее и нерабочее состояния системы).

По месту осуществления воздействия:

удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;
доступ на охраняемую территорию;
непосредственный физический контакт с вычислительной техникой, при этом можно выделить: доступ к рабочим станциям, доступ к серверам предприятия, доступ к системам администрирования, контроля и управления информационной системой, доступ к программам управления системы обеспечения информационной безопасности.

В таблице 2.3 приведены примеры моделей нарушителей информационной безопасности и их сравнительная характеристика.

Таблица 2.3 – Сравнительная характеристика нескольких моделей нарушителя

Характеристика	Хакер-одиночка	Группа хакеров	Конкуренты	Госструктуры, спецподразделения
Вычислительная мощность технических средств	Персональный компьютер	ЛВС, использование чужих вычислительных сетей	Мощные вычислительные сети	Неограниченная вычислительная мощность
Доступ к интернету, тип каналов доступа	Модем или выделенная линия	Использование чужих каналов с высокой пропускной способностью	Собственные каналы с высокой пропускной способностью	Самостоятельный контроль над маршрутизацией трафика в Интернете
Финансовые возможности	Сильно ограничены	Ограничены	Большие возможности	Практически неограниченные
Уровень знаний в области IT	Невысокий	Высокий	Высокий	Высокий, разработчики стандартов
Используемые технологии	Готовые программы, известные уязвимости	Поиск новых уязвимостей, изготовление вредоносных программ	Современные методы проникновения в информационные системы и воздействия на потоки данных в ней	Доскональные знания информационных технологий: возможные уязвимости и недостатки
Знания о построении системы защиты объекта	Недостаточные знания о построении информационной системы	Могут предпринимать усилия для получения представления о принципах функционирования системы защиты	Могут предпринимать усилия для получения представления о принципах функционирования системы защиты, внедрять своего представителя в службу безопасности	В процессе сертификации системы представители госорганов могут получать достаточно полную информацию о ее построении
Преследуемые цели	Эксперимент	Внесение искажений в работу системы	Блокировка функционирования системы, подрыв имиджа, разорение	Непредсказуемые
Характер действий	Скрытый	Скрытый	Скрытый или открытый демонстративный	Может не утруждать себя сокрытием своих действий
Глубина проникновения	Чаще всего останавливается после первого успешного воздействия	До момента достижения поставленной цели или появления серьезного препятствия	До победного конца	Ничего не способно их остановить

1 2 3 4 5 6 7 8 9 ... 12