Главная страница
Навигация по странице:

  • Методика разработки модели нарушителя от ФСТЕК и ФСБ

  • Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе.

  • Построение модели нарушителя

  • СПИСОК ЛИТЕРАТУРЫ

    		•

    Содержание введение 2 Методика разработки модели нарушителя от фстек и фсб 3 Определение потенциала нарушителя, необходимого для реализации угрозы безопасности


    Скачать 53.86 Kb.
    НазваниеСодержание введение 2 Методика разработки модели нарушителя от фстек и фсб 3 Определение потенциала нарушителя, необходимого для реализации угрозы безопасности
    Дата28.03.2022
    Размер53.86 Kb.
    Формат файлаdocx
    Имя файлаKP.docx
    ТипРеферат
    #420865


    СОДЕРЖАНИЕ
    ВВЕДЕНИЕ 2

    1. Методика разработки модели нарушителя от ФСТЕК и ФСБ 3

    2. Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе 6

    3. Построение модели нарушителя 12

    4. Заключение 18

    5. Список использованной литературы 19



    ВВЕДЕНИЕ
    Наступивший новый этап в развитии обмена информацией, который характеризуется интенсивным внедрением современных информационных технологий, широким распространением локальных, корпоративных и глобальных сетей во всех сферах жизни цивилизованного государства, создает новые возможности и качество информационного обмена. В связи с этим проблемы информационной безопасности (ИБ) все больше и больше актуальны в наше время. Важность ИБ обусловлена следующими факторами:

    1. высокие темпы роста персональных компьютеров (ПК),применяемых в разных сферах деятельности и как, следствие, резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным сетям и информационным ресурсам;

    2. увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ПК и других средств автоматизации;

    3. бурное развитие аппаратно-программных средств и технологий, не всегда соответствующих современным требованиям безопасности;

    4. несоответствие бурного развития средств обработки информации и проработки теории ИБ разработки международных стандартов и правовых норм, обеспечивающих необходимый уровень защиты информации (ЗИ);

    5. повсеместное распространение сетевых технологий, создание единого информационно-коммуникационного мирового пространства на базе сети Интернет, которая по своей идеологии не обеспечивает достаточного уровня.

    Указанные выше факторы создают определенный спектр угроз ИБ на уровне личности, общества и государства. Средством нейтрализации значительной их части является формирование теории ИБ, методологии и практики защиты информации.


    1. Методика разработки модели нарушителя от ФСТЕК и ФСБ


    При изучении различных методик регуляторов по моделированию угроз, можно заметить, что большое внимание уделяется описанию потенциального нарушителя. Например, в проекте методики моделирования угроз от ФСТЭК подробно описаны виды нарушителей и их мотивация. В списке угроз ФСТЭК, для каждой угрозы задан тип и потенциал нарушителя, который может ее реализовать. В общем, модель нарушителя перестает быть простой формальностью и начинает оказывать большое влияние на перечень актуальных угроз. Проблема в том, что подходы двух регуляторов (ФСБ и ФСТЭК) к формированию модели нарушителя, несколько отличаются. ФСБ отвечает за регулирование в области криптографии и ее методика в основном служит для выбора класса криптосредств. Соответственно, ФСБ при описании нарушителя делает упор на возможностях нарушителя по атакам на криптосредства и среду их функционирования (СФ). Методика ФСТЭК более широкая и описывает возможности нарушителя по атакам на систему в целом. В результате перед разработчиком модели угроз стоит выбор: либо сделать две модели нарушителя по разным методикам, либо пытаться объединить подходы обоих регуляторов в едином документе. Поэтому обычно разрабатывается два документа:

    1. модель угроз ФСТЭК (включающая свое описание нарушителей);

    2. модель нарушителя по методикам ФСБ.

    В проекте методики ФСТЭК перечислены виды нарушителей и их потенциал. Потенциал нарушителя может быть высоким, средним или низким. Для каждого из вариантов задан свой набор возможностей: Так, нарушители с низким потенциалом могут для реализации атак использовать информацию только из общедоступных источников. К нарушителям с низким потенциалом ФСТЭК относит любых «внешних» лиц, а также внутренний персонал и пользователей системы. Нарушители со средним потенциалом имеют возможность проводить анализ кода прикладного программного обеспечения, самостоятельно находить в нем уязвимости и использовать их. К таким нарушителям ФСТЭК относит террористические и криминальные группы, конкурирующие организации, администраторов системы и разработчиков ПО. Нарушители с высоким потенциалом имеют возможность вносить закладки в программно-техническое обеспечение системы, проводить специальные исследования и применять спец. средства проникновения и добывания информации. К таким нарушителям ФСТЭК относит только иностранные спецслужбы.

    Как уже упоминалось выше, у ФСБ своя методика угроз, с криптосредствами и СФ. В вышедших методических рекомендациях приводится 6 обобщенных возможностей нарушителей:

    1. Возможность проводить атаки только за пределами контролируемой зоны (КЗ);

    2. Возможность проводить атаки в пределах КЗ, но без физического доступа к средствам вычислительной техники (СВТ);

    3. Возможность проводить атаки в пределах КЗ, с физическим доступом к СВТ;

    4. Возможность привлекать специалистов, имеющих опыт в области анализа сигналов линейной передачи и побочных электромагнитных излучений и наводок (ПЭМИН);

    5. Возможность привлекать специалистов, имеющих опыт в области использования не декларируемых возможностей (НДВ) прикладного ПО;

    6. Возможность привлекать специалистов, имеющих опыт в области использования НДВ аппаратного и программного компонентов среды функционирования средств криптографической защиты информации (СКЗИ).


    Эти возможности соответствуют классам криптосредств (СКЗИ). В зависимости от того, какую возможность мы признаем актуальной, необходимо использовать СКЗИ соответствующего класса. Подробнее это детализировано в документе: Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

    Конкретных примеров нарушителей (террористы, конкуренты и т.д.) в своих документах ФСБ не дает. Но можно вспомнить, что ранее были методические рекомендации ФСБ от 2008 года. В них то как раз рассказывалось о 6 типах нарушителей, которые обозначались как Н1- Н6. Возможности описанные в новых документах ФСБ соответствуют тем самым нарушителям Н1 - Н6 из старых методических рекомендаций.

    Если внимательно проанализировать, то можно заметить, что оба регулятора уделяют внимание возможностям нарушителя по использованию НДВ. Сравнив описания нарушителей у ФСТЭК и ФСБ, получим примерно следующее:

    1. Нарушители с низким потенциалом по ФСТЭК – это нарушители Н1-Н3 по классификации ФСБ;

    2. Нарушитель со средним потенциалом по ФСТЭК – это нарушители Н4-Н5 по классификации ФСБ;

    3. Нарушитель с высоким потенциалом по ФСТЭК – это нарушитель Н6 по ФСБ (т.е. сотрудник иностранной технической разведки).


    Таким образом, для каждого нарушителя из методики ФСТЭК можно взять вполне определенный набор свойств из методики ФСБ.

    Нужно определиться, каких нарушителей рассматривать для конкретной информационной системы (регулятор сам подсказывает непосредственно уже на этапе классификации системы). В случае государственной информационной системы, нужно приглядеться к пунктам 26 и 26.1 приказа ФСТЭК от 28.05.2019 №106 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». В них сказано:

    В информационных системах 1 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В информационных системах 2 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В информационных системах 3 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия(Пункт 26).

    При проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к информационно-телекоммуникационной сети «Интернет», должны выбираться маршрутизаторы <2>, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности) Пункт 26.1).

    То есть, хотя бы предварительно разобравшись в системе, можно сделать вывод о том, какие виды нарушителей регулятор считает для нее актуальными. Остается лишь описать данных нарушителей в модели нарушителя, а нарушителей с более высоким потенциалом исключить. Аргументы для исключения «лишних» нарушителей можно взять из методики моделирования угроз ФСБ.

    В случае если система не относится к государственные информационные системы (ГИС), стоит взглянуть на три типа угроз из Постановления Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:

    1. Угрозы 1-го типа - связаны с наличием НДВ в системном ПО;

    2. Угрозы 2-го типа связаны с наличием НДВ в прикладном ПО;

    3. Угрозы 3-го типа не связаны с наличием НДВ в ПО.


    Угрозы 1 типа явно может использовать только нарушитель с высоким потенциалом. Угрозы 2 типа - нарушитель со средним потенциалом, а угрозы 3 типа - с низким. Поскольку большинство операторов рассматривают актуальными только угрозы 3 типа, то потенциал у нарушителей будет низкий.



    1. Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе.


    Данный раздел применяется для определения потенциала, необходимого для реализации угрозы безопасности информации, данные по которой отсутствуют в банке данных угроз безопасности информации, и характеристики которых определяются на основе иных источников или результатов исследований. Данный подход к оценке потенциала нарушителя направлен на снижение уровня субъективности и неопределенности при оценке потенциала нарушителя, который требуется для реализации угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования. Исходными данными для определения потенциала нарушителя являются:

    1. данные об аппаратном, общесистемном и прикладном программном обеспечении, применяемых информационных технологиях, особенностях функционирования информационной системы;

    2. данные об уязвимостях в аппаратном, общесистемном и прикладном программном обеспечении, опубликованные в различных базах данных уязвимостей, полученные в результате исследований (тестировании) или полученные от уполномоченных федеральных органов исполнительной власти и организаций.


    При оценке потенциала нарушителя необходимо исходить из того, что для успешного достижения целей реализации угроз безопасности информации, нарушителю необходимо подготовиться к реализации угрозы и непосредственно реализовать угрозу безопасности информации. При этом не единственным, но необходимым условием на этапе подготовки к реализации угрозы безопасности информации является идентификация уязвимостей винформационной системе, а на этапе реализации угрозы безопасности информации – использование уязвимостей информационной системы. Таким образом, для определения потенциала нарушителя необходимо оценить возможности нарушителя идентифицировать уязвимости и использовать их в информационной системе в ходе подготовки к реализации и непосредственно в ходе реализации угрозы безопасности информации. Для проведения указанной оценки делается предположение о наличии уязвимостей, которые потенциально содержатся в информационной системе и могут быть использованы для реализации угрозы безопасности информации. Потенциальные уязвимости определяются для каждого класса и типа программного обеспечения и для каждого узла (хоста) информационной системы исходя из условия, что для реализации угрозы безопасности информации нарушителю необходимо идентифицировать и использовать как минимум одну уязвимость на каждом узле и хосте. В качестве исходных данных для определения потенциальных уязвимостей используются данные по составу информационной системы и особенностям ее функционирования, а также данные об уязвимостях в этом программном обеспечении, опубликованные в общедоступных источниках, полученные по результатам исследований и (или) полученные от уполномоченных органов и организаций. Для каждой выявленной потенциальной уязвимости проводится оценка возможностей ее идентификации и использования в информационной системе нарушителем, обладающим определенными возможностями и для каждого из возможных сценариев реализации угрозы безопасности информации. Оценка возможностей нарушителя по идентификации и использованию уязвимости в информационной системе проводится по результатам определения следующих показателей:

    1. время, затрачиваемое нарушителем на идентификацию и использование уязвимости (затрачиваемое время);

    2. техническая компетентность нарушителя;

    3. знание нарушителем проекта и информационной системы; оснащенность нарушителя;

    4. возможности нарушителя по доступу к информационной системе. Во многих случаях указанные показатели являются зависимыми и могут в различной степени заменять друг друга.


    В частности, показатели технической компетентности или оснащенности могут заменяться показателем затрачиваемого времени.

    Показатель «затрачиваемое время» характеризует время, непрерывно затрачиваемое нарушителем для идентификации и использования уязвимости для реализации угрозы безопасности информации. Показатель «затрачиваемое время» может принимать значения «за минуты», «за часы», «за дни» или «за месяцы». Значение «за минуты» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее получаса на идентификацию и использование уязвимости. Значение «за часы» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее чем один день на идентификацию и использование уязвимости. Значение «за дни» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее чем один месяц на идентификацию и использование уязвимости. Значение «за месяцы» присваивается, если для реализации угрозы безопасности информации нарушитель затратит, как минимум, месяц на идентификацию и использование уязвимости.

    Показатель «техническая компетентность нарушителя» характеризует, каким уровнем знаний и подготовкой в области информационных технологий и защиты информации должен обладать нарушитель, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации. Показатель «техническая компетентность нарушителя» может принимать значения «специалист», «профессионал» или «непрофессионал». Значение «профессионал» присваивается, если нарушитель имеет хорошую осведомленность о мерах защиты информации, применяемых в информационной системе, об алгоритмах, аппаратных и программных средствах, используемых в информационной системе, а также обладает специальными знаниями о методах и средствах выявления новых уязвимостей и способах реализации угроз безопасности информации для информационных систем данного типа. Значение «специалист» присваивается, если нарушитель имеет осведомленность о мерах защиты информации, применяемых в информационной системе данного типа. Значение «непрофессионал» присваивается, если нарушитель имеет слабую осведомленность (по сравнению со специалистами или профессионалами) о мерах защиты информации, применяемых в информационных системах данного типа, и не обладает специальными знаниями по реализации угроз безопасности информации.

    Показатель «знание нарушителем проекта и информационной системы» характеризует, какие сведения об информационной системе и условиях ее эксплуатации доступны нарушителю, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации. Показатель «знание нарушителем проекта и информационной системы» может принимать значения «отсутствие знаний», «ограниченные знания» или «знание чувствительной информации». Значение «отсутствие знаний» присваивается, если в результате принятия мер по защите информации нарушителю не может стать известно о структурно-функциональных характеристиках информационной системы, системе защиты информации информационной системы, а также об иной информации по разработке (проектированию) и эксплуатации информационной системы, включая сведения из конструкторской, проектной и эксплуатационной документации. При этом может быть доступна информация о целях и задачах, решаемых информационной системой. Данный показатель также присваивается, если сведения об информационной системе отнесены к информации ограниченного доступа и не могут быть доступны для неограниченного круга лиц.

    Значение «ограниченные знания» присваивается, если нарушителю наряду с информацией о целях и задачах, решаемых информационной системой, может стать известна только эксплуатационная документация на информационную систему (в частности руководство пользователя и (или) правила эксплуатации информационной системы). Значение «знание чувствительной информации» присваивается, если нарушителю может стать известны конструкторская (проектная) и эксплуатационная документация на информационную систему, информация о структурно-функциональных характеристиках информационной системы, системе защиты информационной системы.

    Показатель «возможности нарушителя по доступу к информационной системе» характеризует, как долго по времени нарушитель должен иметь возможность доступа к информационной системе для идентификации и использования уязвимостей для реализации угроз безопасности информации. Показатель «возможности нарушителя по доступу к информационной системе» может принимать значения «за минуты», «за часы», «за дни» или «за месяцы». Значение «за минуты» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее получаса. Значение «за часы» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного дня. Значение «за дни» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного месяца. Значение «за месяцы» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ более одного месяца. Показатель «возможности нарушителя по доступу к информационной системе» взаимосвязан с показателем «затраченное время». Идентификация и использование уязвимости при реализации угрозы безопасности информации могут требовать продолжительного времени по доступу к информационной системе, что увеличивает возможность обнаружения уязвимости. В отдельных случаях продолжительный доступ к информационной системе не требуется (методы и средства реализации угроз безопасности разрабатываются автономно), но при этом требуется кратковременный доступ к информационной системе.

    Показатель «оснащенность нарушителя» характеризует, какие программные и программно-технические средства требуются нарушителю для идентификации и использования уязвимостей для реализации угроз безопасности информации. Показатель «оснащенность нарушителя» может принимать значения «стандартное оборудование», «специализированное оборудование» или «оборудование, сделанное на заказ». Значение «стандартное оборудование» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические) средства, легко доступные для нарушителя. К таким средствам, в первую очередь, относятся программные средства непосредственно информационной системы (отладчик в операционной системе, средства разработки и иные), программные средства, которые могут быть легко получены (программы, имеющиеся в свободном доступе в сети Интернет) или имеются простые сценарии реализации угроз. Значение «специализированное оборудование» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические) средства, которые отсутствуют в свободном доступе, но могут быть приобретены нарушителем без значительных усилий. К таким средствам, в первую очередь, относятся программные (программно-технические) средства, которые имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или требуется разработка более сложных программ и сценариев реализации угрозы. Оборудование может быть закуплено, либо, например, могут быть использованы компьютеры, объединенные через сеть Интернет (бот-сети). Значение «оборудование, сделанное на заказ» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические) средства, которые недоступны широкому кругу лиц, так как требуется их специальная разработка с привлечением исследовательских организаций, или распространение этих средств контролируется в соответствии с законодательством. К такому оборудованию также относится дорогостоящие средства или средства, сведения о которых относятся к информации ограниченного доступа. С целью вычисления потенциала нарушителя определяются числовые значения указанных показателей в соответствии с таблицей 1.1.
    Таблица 1 – Числовые значения потенциала нарушителя

    Показатель возможностей нарушителя
    Значения при

    идентификации уязвимости
    Значения при использовании уязвимости

    Затрачиваемое

    время
    < 0,5 час
    0
    0

    < 1 день
    2
    3

    < 1 месяц
    3
    5

    > 1 месяц
    5
    8

    Техническая компетентность нарушителя
    Непрофессионал
    0
    0

    Специалист
    2
    3

    Профессионал
    5
    4



    Окончание таблицы 1

    Знание проекта и информационной системы
    Отсутствие знаний
    0
    0

    Ограниченные знания
    2
    2

    Знание чувствительной информации
    5
    4

    < 0,5 час или не обнаруживаемый доступ
    0
    0

    Возможность доступа к информационной системе
    < 1 день
    2
    4

    < 1 месяц
    3
    6

    > 1 месяц
    4
    9

    Не возможно






    Отсутствует
    0
    0

    Оснащенность

    нарушителя
    Стандартное оборудование
    1
    2

    Специализированное оборудование
    3
    4

    Оборудование, сделанное на заказ
    5
    6


    Для конкретной потенциальной уязвимости может возникнуть необходимость определять показатели несколько раз для различных способов реализации угроз безопасности информации. При этом следует выбирать наибольшее значение, полученное при каждом расчете показателей. Полученные на основе таблицы 1 значения характеристик потенциала нарушителя суммируются. Полученная сумма значений характеристик соотносится с диапазонами значений, приведенных в таблице 1.1, в соответствии с которой определяется потенциал нарушителя, необходимый для реализации угрозы безопасности информации.

    Таблица 1.1 – Диапазон значений

    Диапазон значений
    Потенциал нарушителя

    <10
    Потенциал недостаточен для реализации угрозы безопасности

    10-17
    Базовый (низкий)

    18-24
    Базовый повышенный (средний)

    >24
    Высокий


    Мотивация нарушителя для реализации угроз безопасности информации может быть базовой или повышенной. Мотивация нарушителя характеризует уровень устремлений нарушителя к информации, содержащейся в информационной системе, или информационной системе в целом. При определении потенциала нарушителя необходимо исходить, как минимум, из его базовой мотивации.

    Потенциал нарушителя, требуемый для реализации угрозы безопасности информации, переходит на следующий уровень (от низкого к среднего или от среднего к высокому), если выяснено, что нарушитель имеет повышенную мотивацию реализации угроз безопасности по отношению к информационной системе.

    Мотивация нарушителя определяется как повышенная, если:

    • имеются сведения (в том числе опубликованные в общедоступных источниках) об устремлениях нарушителей к конкретной информационной системе или отдельным ее объектам защиты; например, если информация, обрабатываемая в информационной системе, является высокой ценной для нарушителя или для нарушителя является крайне приоритетным нанести ущерб оператору информационной системы;

    • имеется информация, полученная от уполномоченных федеральных органов исполнительной власти, о намерении нарушителя осуществить неправомерные действия в отношении информационной системы и информации, содержащейся в этой информационной системе.




    1. Построение модели нарушителя


    Целью построения модели нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.

    Результаты построения и оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз безопасности информации и содержит:

    • типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;

    • цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;

    • возможные способы реализации угроз безопасности информации.


    Типы нарушителей определяются по результатам анализа прав доступа субъектов к информации и (или) к компонентам информационной системы, а также анализа возможностей нарушителей по доступу к компонентам информационной системы исходя из структурно-функциональных характеристик и особенностей функционирования информационной системы.

    От зависимости имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.

    Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы:

    • устройств ввода/вывода (отображения) информации; беспроводных устройств; программных, программно-технических и технических средств обработки;

    • информации, съемных машинных носителей информации; машинных носителей информации, выведенных из эксплуатации; активного (коммутационного) и пассивного оборудования каналов связи; каналов связи, выходящих за пределы контролируемой зоны.

    С учетом наличия прав доступа и возможностей по доступу к информации и к компонентам информационной системы нарушители подразделяются на два типа:

    • внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;

    • внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.


    Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц. Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.

    Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:

    • специальные службы иностранных государств (блоков государств); террористические, экстремистские группировки; преступные группы (криминальные структуры); внешние субъекты (физические лица); конкурирующие организации;

    • разработчики, производители, поставщики программных, технических и программно-технических средств;

    • лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;

    • лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики т.д.);

    • пользователи информационной системы;

    • администраторы информационной системы и администраторы безопасности;

    • бывшие работники (пользователи).


    Виды нарушителей, характерных для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования, определяются на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нарушителями.

    Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.

    Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирования информационной системы.

    Угрозы безопасности информации могут быть реализованы нарушителями за счет:

    • несанкционированного доступа и воздействия на объекты на аппаратном уровне (программы (микропрограммы), «прошитые» в аппаратных компонентах (чипсетах);

    • несанкционированного доступа и воздействия на объекты на общесистемном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы);

    • несанкционированного доступа и воздействия на объекты на прикладном уровне (системы управления базами данных, браузеры, web-приложения, иные прикладные программы общего и специального назначения);

    • несанкционированного доступа и воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы) несанкционированного физического доступа и воздействия на линии, (каналы) связи, технические средства, машинные носители информации;

    • воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия).


    Действия нарушителя в зависимости от его потенциала при реализации угроз безопасности информации предусматривают идентификацию и использование уязвимостей в микропрограммном, общесистемном и прикладном программном обеспечении, сетевом оборудовании, применяемых в информационной системе, а также в организации работ по защите информации и конфигурации информационной системы.

    При определении способа реализации угроз безопасности информации необходимо учитывать то, что угрозы безопасности информации могут быть реализованы непосредственно за счет доступа к компонентам информационной системы и (или) информации или косвенно за счет создания условий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или воздействия на обслуживающую инфраструктуру, за которую оператор не отвечает. При этом локальной целью нарушителя, не имеющего прав доступа к компонентам информационной системы и (или) информации, как правило, является получение доступа к информационной системе (в том числе через внешние сети связи общего пользования) и получение максимально возможных прав и привилегий при таком доступе.

    Преднамеренные действия нарушителей могут заключаться в реализации целенаправленных или нецеленаправленных угроз безопасности информации:

    • Целенаправленная угроза безопасности информации направлена на интересующую нарушителя информационную систему с заранее известными ему структурно-функциональными характеристиками и особенностями функционирования. Целенаправленная угроза безопасности информации адаптирована к структурно-функциональным характеристикам информационной системы. При подготовке и реализации целенаправленных угроз безопасности информации нарушитель может использовать методы социальной инженерии, которые позволяют ему изучить поведение пользователей и их реакцию на поступающие к ним внешние данные;

    • Нецеленаправленная («веерная») угроза безопасности информации не ориентирована на конкретную информационную систему. Целями такой угрозы могут являться несанкционированный доступ, перехват управления или воздействие на как можно большее количество информационных систем. В данном случае нарушителю заранее не известны структурно-функциональные характеристики и условия функционирования информационной системы.


    Реализация преднамеренных угроз безопасности информации, как правило, включает:

    • сбор информации об информационной системе, ее структурно-функциональных характеристиках, условиях функционирования;

    • выбор (разработка, приобретение) методов и средств, используемых для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и условиями функционирования;

    • непосредственная реализация угроз безопасности информации в информационной системе (проникновение в информационную систему, закрепление в информационной системе, реализация неправомерных действий);

    • устранение признаков и следов неправомерных действий в информационной системе.


    При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий:

    • нарушитель может действовать один или в составе группы нарушителей;

    • в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;

    • угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);

    • для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.


    Возможные способы реализации угроз безопасности информации, определенные на основе настоящего раздела, включаются в модель угроз безопасности информации:

    • нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;

    • реализация угроз безопасности информации по идеологическим или политическим мотивам;

    • организация террористического акта;

    • причинение имущественного ущерба путем мошенничества или иным преступным путем;

    • дискредитация или дестабилизация деятельности органов государственной власти, организаций;

    • получение конкурентных преимуществ;

    • внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;

    • любопытство или желание самореализации;

    • выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;

    • реализация угроз безопасности информации из мести;

    • реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.


    ЗАКЛЮЧЕНИЕ
    Для того, чтобы разработанная модель нарушителя приносила пользу в решении проблем информационной безопасности, а не была простой формальностью, она должна быть строго адаптирована на конкретный объект информационной защиты. Кроме того, каждый элемент модели нарушителя должен иметь продолжение как в виде причинно-следственных связей между отдельными элементами, так и в виде детализации информации, содержащейся в каждом из них. Такая детализация предполагает построение цепочек предполагаемых последствий наступления тех или иных заключений относительно облика нарушителя.

    Построение причинно - следственных связей между элементами модели и цепочек предполагаемых последствий требует знаний в области социально-психологических аспектов деятельности нарушителя, в области техники промышленного шпионажа, возможностей средств информационной защиты и целого ряда других, неразрывно связанных с проблемой защиты информации. Ну, и наконец, корректное построение модели нарушителя позволяет проектировать и реализовывать систему обеспечения защиты информации в вычислительных системах организации адекватно имеющимся угрозам, что, в свою очередь, гарантирует достижение эффективного баланса между стоимостью защиты и уровнем безопасности.

    СПИСОК ЛИТЕРАТУРЫ


    1. Герасименко В. А. Основы защиты информации в автоматизированных системах: В 2 кн. - Кн. 2. - М.: Энергоатомиздат, 1994. - 176 с.

    2. Стефаров А. П., Жукова М. Н. О сравнении моделей нарушителя правил разграничения доступа в автоматизированных системах. Информационное противодействие угрозам терроризма. 2013. № 20. С. 147-151.

    3. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка): методика, утв. ФСТЭК РФ 15.02.2008 Собрание законодательства. 2008. 156 с.

    4. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации: утв. Руководством 8 Центра ФСБ России 21 февр. 2008 года № 149/54-144. - М., 2008. - 20 с.

    5. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: руководящий документ, утв. РД Гостехкомиссии 30.03.1992.

    написать администратору сайта