Информации - модели нарушителя

Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Злоумышленником будем называть нарушителя, намеренно идущего на нарушение из корыстных побуждений.

Неформальная модель нарушителя отражает его практические и теоретические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (конечно если это возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлений.

При разработке модели нарушителя определяются:

- предположения о категориях лиц, к которым может принадлежать нарушитель;

- предположения о мотивах действий нарушителя (преследуемых нарушителем целях);

- предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушения методах и средствах);

- ограничения и предположения о характере возможных действий нарушителей.

По отношению к АС нарушители могут быть внутренними (из числа личного состава системы) или внешними (посторонними лицами).

Всех нарушителей можно классифицировать следующим образом.

По уровню знаний об АС:

- знает функциональные особенности АС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;

- обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;

- обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;

- знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

 

По уровню возможностей (используемым методам и средствам):

- применяющий чисто агентурные методы получения сведений;

- применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);

- использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

- применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

По времени действия:

- в процессе функционирования АС (во время работы компонентов системы);

- в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);

- как в процессе функционирования АС, так и в период неактивности компонентов системы.

По месту действия:

- без доступа на контролируемую территорию организации;

- с контролируемой территории без доступа в здания и сооружения;

- внутри помещений, но без доступа к техническим средствам АС;

- с рабочих мест конечных пользователей (операторов) АС;

- с доступом в зону данных (баз данных, архивов и т.п.);

- с доступом в зону управления средствами обеспечения безопасности АС.

Могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:

- работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;

- нарушитель, планируя попытки НСД, скрывает свои несанкционированные действия от других сотрудников;

- НСД может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.

Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше.

Информационные каналы, выходящие за пределы предприятия можно подразделить на:

- выделенные каналы (предназначенные для передачи особо секретной информации);

- каналы, по которым передается конфиденциальная информация;

- каналы, по которым передается несекретная информация.

Кроме того, можно разделить каналы связи, используемые для передачи информации, на общедоступные и принадлежащие ведомству или воинской части. Для организации информационных каналов первых двух видов предпочтительнее использовать ведомственные системы связи, так как для них легче организовать применение технических средств защиты и контроля их целостности. Каналы общего пользования подвержены как пассивным, так и активным угрозами, в то время как ведомственные каналы, как правило, недоступны для активного вмешательства, или такое вмешательство легко обнаруживается.

Согласно документам ФСТЭК: «Базовая модель угроз безопасности персональных данных при их обработки в информационных системах персональных данных» от 15 февраля 2008г. и Постановления Правительства РФ от 1 ноября 2012 года N 1119 «Об утверждении требований к защите ПДн в ИСПДн» разрабатывается модель нарушителя ПДн.

Пример частной модели нарушителя персональным данным при их обработке в ИСПДн приведен в Таблице А3.

 

Таблица А3. Модель нарушителя безопасности информационной системы персональных данных

 

Угрозы	Реализуемые факторы (по ГОСТ Р 51275-2006)	Потенциальный нарушитель/вероятность нарушения
Зарегистрированные пользователи
Утечка	Уничтожение	Блокировка доступа	Модификация	Пользователи 1- го уровня	Пользователи 2- го уровня	Пользователи 3 - го уровня	Сотрудники У ФК	уборщицы	Сотрудники 29 отряда охраны	Клиенты приходящие на обслуживание	рабочие ремонтных бригад	Сотрудники сторонних организаций оказывающие услуги УФК	Другие
1. Обход защитных средств:
-	все	все	-	1.1. Обход СКД (средств контроля доступа) в служебные помещения ЛВС: - проход вместе с сотрудниками, имеющими право входа.	-	-	-	В	В	В	-	С	Н	Н
-	все	все	-	- проход по чужим пропускам, Proximity-картам.	-	-	-	В	Н	В	В	Н	Н	С
все	все	все	все	1.2. Регистрация в ЛВС с использованием идентификационных данных легального пользователя	В	В	В	С	Н	Н	Н	Н	Н	Н
6-8	6-15	6-15	6-8	1.3. Обход видеонаблюдения в служебные помещения ЛВС в рабочее и нерабочее время	Н	Н	Н	Н	Н	В	Н	Н	Н	Н
6-8	6-8	6-8	6-8	1.4. Использование ПО, позволяющего обойти настройки ОС и СЗИ	Н	В	В	-	-	-	-	-	-	-
2. Осуществление физического доступа к АРМ в служебные помещения ЛВС:
6-8	все	все	6-8	2.1. Осуществление физического доступа к СВТ	В	В	В	С	В	Н	С	Н	Н	Н
	все	все		2.2. Осуществление физического доступа к серверам.	Н	Н	В	Н	В	Н	Н	В	Н	Н
3. Хищение материальных средств и средств идентификации
-	-	все	-	3.1.Кража идентификаторов	В	В	В	С	В	Н	Н	Н	С	Н
все	все	все	все	3.2.Кража паролей и идентификаторов	В	В	В	С	В	Н	В	Н	С	Н
все	-	-	6-8	3.3.Кража носителей информации	В	В	В	Н	В	Н	С	Н	С	Н
-	-	все	-	3.4.Кража элементов СВТ	В	В	В	Н	В	Н	Н	С	С	Н
Все	-	-	-	3.5.Кража бумажных носителей информации	-	-	-	С	В	Н	С	С	С	Н
4. Ошибки администрирования
				4.1. Ошибки допуска сотрудников к ресурсам ЛВС	-	-	В	-	-	-	-	-	-	-
				4.1. Ошибки установки парольной защиты	-	-	В	-	-	-	-	-	-	-
				4.2. Неправильная установка настроек политики безопасности	-	-	В	-	-	-	-	-	-	-
				4.3. Неправильная реализация матрицы доступа сотрудников к ресурсам ЛВС	-	-	В	-	-	-	-	-	-	-
				4.4. Ошибки настроек ОС, СУБД, СЗИ	-	-	В	-	-	-	-	-	-	-
5. Ошибки пользователей
6-8	6-8	6-8	6-8	5. Ошибки пользователей	В	В	В	-	-	-	-	-	-	-
6. Переход ЛВС в небезопасное состояние
-			-	6.1.Отказ в результате сбоя электропитания	-	-	-	-	-	-	-	В	-	С
-	6-8,14	6-8,14	-	6.2.Блокировка работоспособности АРМ и серверов ЛВС в результате одновременного запуска большого количества программ	С	В	В	-	-	-	-	-	Н	-
-	-	6-8,14	-	6.3.Снижение работоспособности сети в связи с перегрузкой трафика	В	В	В	-	-	-	-	-	Н	-
-	все	все	-	6.4. Физический вывод из строя технических средств ЛВС	Н	Н	Н	Н	С	Н	Н	В	Н	Н
7. Перехват информации
все	все	все	все	7.1.Возможность доступа к оставленному без присмотра СВТ и получение информации	В	В	В	В	В	С	С	Н	В	Н
все	-	-	-	7.2.Просмотр информации выводимой на экраны мониторов СВТ ЛВС	В	В	В	В	В	Н	В	В	В	Н
все	-	-	-	7.3. Просмотр информации при распечатке документов на принтерах в служебных помещениях ЛВС	В	В	В	С	В	Н	С	Н	С	Н
7-8	-	-	-	7.4.Анализ трафика	-	В	В	-	-	-	-	-	-	В
	-	-	-	7.5.Перехват акустического шума при работе принтеров.	-	-	-	-	-	-	-	-	-	В
	-	-	-	7.6. Перехват ПЭМИ СВТ	-	-	-	-	-	-	-	-	-	В
	-	-	-	7.7. Перехват наводок на систему заземления	-	-	-	-	-	-	-	-	-	В
6-8,14				7.8. НСД к остаточной информации в многократно используемых ресурсах	Н	В	В	-	-	-	-	-	С	-
8. Возможность несанкционированного изменения политики безопасности
	7-8,14	7-8,14	7-8,14	8.1.Несанкционированное изменение пользователем назначенных прав доступа	-	В	В	-	-	-	-	-	С	-
7-8,14	7-8,14	7-8,14	7-8,14	8.2.Инсталляция неразрешенного к использованию ПО	-	В	В	-	-	-	-	-	С	-
7-8,14	7-8,14	7-8,14	7-8,14	8.3. Несанкционированное изменение конфигурации ОС и СЗИ	-	В	В	-	-	-	-	-	С	-
9. Нарушение целостности программной конфигурации и баз данных, путем внедрения вирусов, программ закладок
7-8,14	7-8,14	7-8,14	7-8,14	9. Нарушение целостности программной конфигурации и баз данных, путем внедрения вирусов, программ закладок	-	В	В	-	-	-	-	-	С	-
10. НСД к информации:
6-8	6-8	6-8	6-8	10.1. Несанкционированный доступ к находящейся в БД информации ЛВС	В	В	В	-	-	-	-	-	-	-
6-8	6-8	6-8	6-8	10.2. к файлам электронных документов на СВТ	В	В	В	-	-	-	-	-	-	-
11. Подключение посторонних СВТ в сеть ЛВС
6-14	6-14	6-14	6-14	11. Подключение посторонних СВТ в сеть ЛВС	В	В	В	Н	В	Н	Н	С	С	-
12. Несанкционированное изменение (удаление) журналов аудита АРМ, серверов, СУБД и СЗИ
				12. Несанкционированное изменение (удаление) журналов аудита АРМ, серверов, СУБД и СЗИ	-	С	В	-	-	-	-	-	-	-
13.Доступ к остаточной информации в многократно используемых носителях
6-8	-	-	-	13. Доступ к остаточной информации в многократно используемых носителях	В	В	В	-	-	-	-	-	-	-