Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 683
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
ной системы и средствами вычислительной техники как части автоматизированной системы. Нарушители АС классифицируют
ся по уровню возможностей, предоставляемых им штатными сред
ствами АС. Выделяется четыре уровня этих возможностей. Клас
сификация является иерархической, т.е. каждый следующий уро
вень включает функциональные возможности предыдущего.
Первый уровень определяет самый низкий уровень возможно
стей ведения диалога в АС — запуск задач (программ) из фикси
рованного набора, реализующих заранее предусмотренные функ
ции по обработке информации.
Второй уровень определяется возможностью создания и за
пуска собственных программ с новыми функциями по обработке информации.
Третий уровень определяется возможностью управления функ
ционированием АС, т.е. воздействием на базовое программное обес
печение системы и на состав и конфигурацию ее оборудования.
Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт тех
нических средств АС, вплоть до включения в ее состав собствен
ных технических средств с новыми функциями по обработке ин
формации.
В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и сред
ствах ее защиты [26]. Нарушитель может осуществлять атаку слу
чайно или преднамеренно. В последнем случае он называется зло
умышленником.
Система защиты АС строится на основе модели нарушителя.
В каждом конкретном случае, исходя из применяемой технологии обработки информации, условий функционирования и располо
жения АС, определяется модель нарушителя, которая должна быть адекватна реальному нарушителю. Под моделью нарушителя по
нимается его абстрактное (формализованное или неформализо
ванное) описание. Мы будем рассматривать далее только нефор
мализованное описание.
Неформальная модель нарушителя отражает его практические и теоретические возможности, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некото
рые усилия, затратить определенные ресурсы. Исследовав причи
ны нарушений, можно либо повлиять на сами эти причины, либо точнее определить требования к системе защиты от данного вида нарушений или преступлений.
При разработке модели нарушителя определяются:
• предположения о категориях лиц, к которым может принад
лежать нарушитель;
• предположения о мотивах действий нарушителя (преследуе
мых нарушителем целях);
ся по уровню возможностей, предоставляемых им штатными сред
ствами АС. Выделяется четыре уровня этих возможностей. Клас
сификация является иерархической, т.е. каждый следующий уро
вень включает функциональные возможности предыдущего.
Первый уровень определяет самый низкий уровень возможно
стей ведения диалога в АС — запуск задач (программ) из фикси
рованного набора, реализующих заранее предусмотренные функ
ции по обработке информации.
Второй уровень определяется возможностью создания и за
пуска собственных программ с новыми функциями по обработке информации.
Третий уровень определяется возможностью управления функ
ционированием АС, т.е. воздействием на базовое программное обес
печение системы и на состав и конфигурацию ее оборудования.
Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт тех
нических средств АС, вплоть до включения в ее состав собствен
ных технических средств с новыми функциями по обработке ин
формации.
В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и сред
ствах ее защиты [26]. Нарушитель может осуществлять атаку слу
чайно или преднамеренно. В последнем случае он называется зло
умышленником.
Система защиты АС строится на основе модели нарушителя.
В каждом конкретном случае, исходя из применяемой технологии обработки информации, условий функционирования и располо
жения АС, определяется модель нарушителя, которая должна быть адекватна реальному нарушителю. Под моделью нарушителя по
нимается его абстрактное (формализованное или неформализо
ванное) описание. Мы будем рассматривать далее только нефор
мализованное описание.
Неформальная модель нарушителя отражает его практические и теоретические возможности, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некото
рые усилия, затратить определенные ресурсы. Исследовав причи
ны нарушений, можно либо повлиять на сами эти причины, либо точнее определить требования к системе защиты от данного вида нарушений или преступлений.
При разработке модели нарушителя определяются:
• предположения о категориях лиц, к которым может принад
лежать нарушитель;
• предположения о мотивах действий нарушителя (преследуе
мых нарушителем целях);
• предположения о квалификации нарушителя и его техниче
ской оснащенности (об используемых для совершения наруше
ния методах и средствах);
• ограничения и предположения о характере возможных дей
ствий нарушителя.
По отношению к АС нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лица
ми). Внутренним нарушителем может быть лицо из следующих категорий персонала:
• пользователи (операторы) системы;
• персонал, обслуживающий технические средства (инженеры, техники);
• сотрудники отделов разработки и сопровождения ПО (при
кладные и системные программисты);
• технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты АС);
• сотрудники службы безопасности АС;
• руководители различных уровней должностной иерархии.
Посторонние лица, которые могут быть нарушителями:
• клиенты (представители организаций, граждане);
• посетители (приглашенные по какому-либо поводу);
• представители организаций, взаимодействующих по вопро
сам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);
• представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
• лица, случайно или умышленно нарушившие пропускной ре
жим (без цели нарушить безопасность АС);
• любые лица за пределами контролируемой территории.
Весьма опасны так называемые обиженные сотрудники — ны
нешние и бывшие. Как правило, их действиями руководит жела
ние нанести вред организации-обидчику, например:
• повредить оборудование;
• встроить логическую бомбу, которая со временем разрушит программы и/или данные;
• ввести неверные данные;
• удалить данные;
• изменить данные и т.д.
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходи
мо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.
Вот, например, недавний (апрель 2007 г.) случай с компанией
NCsoft — разработчиком компьютерных игр. В сентябре 2006 г. она пострадала от утечки конфиденциальных данных. Владельцы
решили уволить руководителя проекта, но это лишь обострило проблемы. Вслед за руководителем компанию покинуло большое число разработчиков. Семеро программистов перед увольнением скопировали код новой игры. А вскоре вышли на связь с конкури
рующей японской фирмой и продали исходники игры LiNeage III.
По оценкам NCsoft, убыток составит свыше миллиарда долларов, что сопоставимо с продажами двух предыдущих версий этой игры.
Используя классификацию нарушителей АС по уровню воз
можностей, получим следующую классификацию нарушителей безопасности предприятия:
• применяющий чисто агентурные методы получения сведе
ний;
• применяющий пассивные средства (технические средства пе
рехвата без модификации компонентов АС);
• использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные маг
нитные носители информации, которые могут быть скрытно про
несены через посты охраны;
• применяющий методы и средства активного воздействия (мо
дификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программ
ных закладок и использование специальных инструментальных и технологических программ).
Кроме того, возможны и другие критерии классификации.
Например, классификация нарушителей по времени действия вы
глядит так:
• в процессе функционирования АС (во время работы компо
нентов системы);
• в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);
• как в процессе функционирования АС, так и в период неак
тивности компонентов системы.
Классификация по месту действия нарушителей:
• без доступа на контролируемую территорию организации;
• с контролируемой территории без доступа в здания и соору
жения;
• внутри помещений, но без доступа к техническим средствам
АС;
• с рабочих мест конечных пользователей (операторов) АС;
• с доступом в зону данных (баз данных, архивов и т.п.);
• с доступом в зону управления средствами обеспечения без
опасности АС.
В ГОСТ 15408 — 2002 значительное внимание уделяется пред
положениям безопасности, которые должен сделать разработчик
рующей японской фирмой и продали исходники игры LiNeage III.
По оценкам NCsoft, убыток составит свыше миллиарда долларов, что сопоставимо с продажами двух предыдущих версий этой игры.
Используя классификацию нарушителей АС по уровню воз
можностей, получим следующую классификацию нарушителей безопасности предприятия:
• применяющий чисто агентурные методы получения сведе
ний;
• применяющий пассивные средства (технические средства пе
рехвата без модификации компонентов АС);
• использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные маг
нитные носители информации, которые могут быть скрытно про
несены через посты охраны;
• применяющий методы и средства активного воздействия (мо
дификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программ
ных закладок и использование специальных инструментальных и технологических программ).
Кроме того, возможны и другие критерии классификации.
Например, классификация нарушителей по времени действия вы
глядит так:
• в процессе функционирования АС (во время работы компо
нентов системы);
• в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);
• как в процессе функционирования АС, так и в период неак
тивности компонентов системы.
Классификация по месту действия нарушителей:
• без доступа на контролируемую территорию организации;
• с контролируемой территории без доступа в здания и соору
жения;
• внутри помещений, но без доступа к техническим средствам
АС;
• с рабочих мест конечных пользователей (операторов) АС;
• с доступом в зону данных (баз данных, архивов и т.п.);
• с доступом в зону управления средствами обеспечения без
опасности АС.
В ГОСТ 15408 — 2002 значительное внимание уделяется пред
положениям безопасности, которые должен сделать разработчик
продукта ИТ. В отношении возможных нарушителей могут учи
тываться следующие предположения:
• работа по подбору кадров и специальные мероприятия за
трудняют возможность создания коалиций нарушителей, т.е. объ
единения (сговора) и целенаправленных действий по преодоле
нию подсистемы защиты двух и более нарушителей;
• нарушитель, планируя попытки НСД, скрывает свои несанк
ционированные действия от других сотрудников;
• НСД может быть следствием ошибок пользователей, адми
нистраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.
Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нару
шителя, построенная с учетом особенностей конкретной пред
метной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика.
Каждый вид нарушителя должен быть охарактеризован значения
ми характеристик, приведенных выше.
тываться следующие предположения:
• работа по подбору кадров и специальные мероприятия за
трудняют возможность создания коалиций нарушителей, т.е. объ
единения (сговора) и целенаправленных действий по преодоле
нию подсистемы защиты двух и более нарушителей;
• нарушитель, планируя попытки НСД, скрывает свои несанк
ционированные действия от других сотрудников;
• НСД может быть следствием ошибок пользователей, адми
нистраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.
Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нару
шителя, построенная с учетом особенностей конкретной пред
метной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика.
Каждый вид нарушителя должен быть охарактеризован значения
ми характеристик, приведенных выше.
1 ... 9 10 11 12 13 14 15 16 ... 41
6.4. Подходы к оценке ущерба
от нарушений И Б
Результатом реализации угроз информации может быть ее утрата
(разрушение, уничтожение), утечка (разглашение, извлечение, копирование), искажение (модификация, подделка) или блоки
рование. Возможную совокупность и результаты реализации всех видов угроз нанесения ущерба для конкретного предприятия опре
делить заранее трудно, поэтому модель потенциальных угроз на
несения ущерба должна создаваться на этапах разработки и созда
ния КСЗИ и уточняться в ходе ее эксплуатации.
Количественная оценка ценности информации имеет особен
ности и связана с большими трудностями, поэтому наиболее ха
рактерна экспертная (качественная) оценка ценности объекта ИБ.
Пример такой оценки приведен в табл. 6.2.
При реализации угрозы в отношении конкретного объекта И Б можно говорить об ущербе этому объекту. Традиционно под ущер
бом понимаются материальные потери, оцениваемые в количе
ственном или стоимостном исчислении, но при этом, как прави
ло, игнорируются иные отрицательные результаты, которые при
сутствуют при реализации угроз. По этой причине более коррек
тно выделение не только «материального», но и «нематериально
го» ущерба. Нематериальным ущербом можно считать ущерб, на
несенный имиджу, репутации, конкурентным и другим преиму-
Т а б л и ц а 6.2. Пример оценки ценности объекта ИБ
Ценность объекта ИБ
Семантическая характеристика ценности объекта ИБ
Малоценный
От объекта ИБ не зависят критически важные задачи.
При нанесении ущерба объекту ИБ на восстановление не требуется больших затрат времени и средств
Средняя
От объекта ИБ зависит ряд важных задач. При нанесе
нии ущерба объекту ИБ время и стоимость восстанов
ления находятся в допустимых пределах
Ценный
От объекта ИБ зависят критически важные задачи.
При нанесении ущерба объекту ИБ время и стоимость восстановления превышают допустимые значения ществам предприятия. Расчет нематериального ущерба очень сло
жен, поскольку нематериальные потери оцениваются экспертно на основе субъективных показателей. Например, вводится пока
затель «величина ущерба» и для него определяются лингвистичес
кие значения, как это показано в табл. 6.3 [24].
Т а б л и ц а
6.3. Пример оценки ущерба
Лингвистические значения показателя «величина ущерба»
Семантическая характеристика значения показателя «величина ущерба»
Ничтожный
Ущербом (угрозой) можно пренебречь
Незначительный
Ущерб легко устраним, затраты на ликви
дацию последствий реализации угрозы невелики. Финансовые операции не ве
дутся некоторое время. Положение на рынке и количество клиентов меняют
ся незначительно
Умеренный
Ликвидация последствий реализации угрозы не связана с крупными затратами и не затрагивает критически важные задачи. Положение на рынке ухудшается.
Потеря части клиентов
Серьезный
Затрудняется выполнение критически важных задач. Утрата на длительный пе
риод (например, до года) положения на рынке. Ликвидация последствий реали зации угрозы связана со значительными финансовыми инвестициями, в том числе займами
Критический
Реализация угрозы приводит к невозмож ности решения критически важных задач.
Организация прекращает существование
Т а б л и ц а 6.4. Пример оценки вероятности угрозы
Частота реализации угрозы
Значение вероятности
Семантическая характеристика вероятности реализации угрозы
—
Около нуля
Угроза практически никогда не реализуется
1 раз за несколько лет
Очень низкая
Угроза реализуется редко
1 раз за год
Низкая
Скорее всего, угроза не реализуется
1 раз в месяц
Средняя
Скорее всего, угроза реализуется
1 раз в неделю
Выше средней
Угроза почти обязательно реализуется
1 раз за день
Высокая
Шансов на положительный исход нет
Частоту реализации угрозы за определенный период времени также можно определить семантически (табл.
6.4) [24].
Деятельность предприятия, сопряженная с вероятностным по
явлением ущерба, считается рисковой. Риск обычно представля
ют произведением вероятности наступления ущерба на величину этого ущерба. Рисками необходимо управлять. Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению этого размера и затем убедить
ся, что риски заключены в приемлемые рамки. Таким образом, управление рисками включает два вида деятельности [5]: оценку
(измерение) рисков; выбор эффективных и экономичных защит
ных регуляторов.
Процесс управления рисками можно подразделить на следую
щие этапы
[41]:
1
. Определение среды, границ и идентификация активов ав
томатизированной системы. При определении среды и границ
ИТ фиксируются:
• границы контролируемой зоны объекта эксплуатации, ИТ;
• меры и средства физической защиты;
• организационные меры обеспечения безопасности;
• пользователи ИТ;
• внешние интерфейсы ИТ, потоки информации;
• внешняя среда ИТ.
В состав активов ИТ включаются:
• аппаратные средства;
• программное обеспечение;
• информация;
• средства обеспечения безопасности.
2. Анализ мер и средств обеспечения безопасности и иден
тификация уязвимостей. Целью анализа является определение уязвимостей, связанных с активами и средой ИТ, использование которых может привести к нарушению безопасности ИТ.
Для определения состава уязвимостей используются следую
щие источники:
• результаты анализа соответствия используемых мер и средств обеспечения безопасности установленным требованиям безопас
ности ИТ;
• печатные и электронные источники, содержащие известные уязвимости средств обеспечения безопасности ИТ;
• результаты работы автоматизированных средств выявления уязвимостей;
• результаты тестирования средств обеспечения безопаснос
ти ИТ.
3. Идентификация угроз безопасности. При идентификации угроз безопасности должны быть выявлены все имеющиеся и по
тенциально возможные угрозы безопасности ИТ следующих кате
горий:
• объективные и субъективные;
• внутренние и внешние;
• случайные и преднамеренные.
Описание угрозы безопасности должно содержать:
• источник угрозы;
• способ (метод) реализации угрозы;
• используемая уязвимость;
• вид защищаемых активов, на которые воздействует угроза;
• вид воздействия на активы;
• нарушаемое свойство безопасности активов.
Описание источника угрозы должно содержать:
• тип;
• мотивацию;
• компетентность;
• используемые ресурсы.
4. Определение вероятности реализации угрозы. При опре
делении вероятности реализации угрозы должны быть учтены:
• мотивация, компетентность источника угрозы и используе
мые им ресурсы;
• имеющиеся уязвимости;
• наличие и эффективность мер и средств обеспечения без
опасности ИТ.
5. Оценка уровня ущерба. Уровень ущерба от реализации уг
розы определяется как максимальный уровень ущерба для нару
шаемых в результате реализации угрозы характеристик безопас
ности информации, обрабатываемой в ИТ, в соответствии с по
рядком, определенным в Приложении Б Специального техниче-