Модель нарушителя информационной безопасности реферат

Обновлено: 25.06.2024

В данном реферате основное внимание уделено вопросам определения возможных потенциальных угроз и действий нарушителей для информации в информационных системах, их классификации и основным методам защиты. Это дает возможность и, по сути, является основой для проведения анализа и формирования требований к функционированию информационных систем обработки, учета и хранения информации.

Содержание

Введение 3
Классификация угроз 4
По характеру нарушений 4
По тяжести нарушения 5
По мотивации 5
По месту возникновения 5
По законченности 5
По объекту воздействия 5
По причине возникновения 5
По размеру ущерба 6
По каналу проникновения 6
По виду реализации угрозы 6
По происхождению 6
По предвидению последствий нарушителем 6
Основные понятия 10
Нарушитель 10
Атака 11
Внешние угрозы 14
Вредоносные программы 14
Хакерские атаки 17
Фишинговые атаки 18
Спам 19
Уязвимые стороны информационной системы 21
Каналы реализации угроз 21
Уязвимость в зонах защиты 22
Заключение 25
Список использованной литературы и электронных ресурсов 26

Прикрепленные файлы: 1 файл

реферат ИС2.docx

Виды угроз информационным системам и методы обеспечения информационной безопасности

Классификация угроз 4

По характеру нарушений 4

По тяжести нарушения 5

По месту возникновения 5

По законченности 5

По объекту воздействия 5

По причине возникновения 5

По размеру ущерба 6

По каналу проникновения 6

По виду реализации угрозы 6

По происхождению 6

По предвидению последствий нарушителем 6

Основные понятия 10

Внешние угрозы 14

Вредоносные программы 14

Хакерские атаки 17

Фишинговые атаки 18

Уязвимые стороны информационной системы 21

Каналы реализации угроз 21

Уязвимость в зонах защиты 22

Список использованной литературы и электронных ресурсов 26

Введение

В наше время информация бесспорно является одним из наиболее значимых и ценных продуктов человеческой деятельности. Эффективность работы каждой организации во многом зависит от наличия необходимой информации, методологии ее использования и концепции защиты информационной системы.

Любая информационная система постоянно находится в некоторой опасности. Угрозы ей появляются просто потому, что существуют системы или процессы, а не из-за неких конкретных недостатков. Например, угроза пожара существует для всех помещений независимо от объема проводимых на них противопожарных мероприятий. Угрозы безопасности информационной системе могут быть связаны с работником (ошибки, несанкционированный доступ), объектом (неисправное программное обеспечение или оборудование) или происшествием (пожар, наводнение, землетрясение и другие). Важность и актуальность данной проблемы только растет с увеличением значимости информационных систем в постиндустриальном обществе.

В данном реферате основное внимание уделено вопросам определения возможных потенциальных угроз и действий нарушителей для информации в информационных системах, их классификации и основным методам защиты. Это дает возможность и, по сути, является основой для проведения анализа и формирования требований к функционированию информационных систем обработки, учета и хранения информации.

Классификация угроз

Виды угроз информационной безопасности очень разнообразны и имеют множество классификаций.

По характеру нарушений

Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность информационных систем, либо блокируют доступ к некоторым ее ресурсам. Атаки, реализующие данный тип угроз, называются также DoS-атаками (Denied of Service – отказ в обслуживании). При реализации угроз нарушения работоспособности может преследоваться цель нанесения ущерба (вандализм), либо может являться промежуточной целью при реализации угроз нарушения конфиденциальности и целостности (нарушение работоспособности системы защиты информации).

Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, направлены на ее изменение или искажение, приводящее к нарушению ее качества или полному уничтожению.

  1. незаконное вмешательство в фун кционирование ЭВМ и т.д.

По тяжести нарушения

  1. незначительные ошибки
  2. мелкое хулиганство
  3. серьезные преступления/природные и техногенные катастрофы

По мотивации

  1. злонамеренные нарушения
  2. незлонамеренные нарушения

По месту возникновения

  1. внешние угрозы – угрозы, возникающие внутри управляемой организации. Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников, получил широкое распространение промышленный шпионаж — это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.
  2. внутренние угрозы - угрозы со стороны инсайдеров. Внутренние угрозы наиболее часто определяются социальной напряженностью и тяжелым моральным климатом.

По законченности

По объекту воздействия

  1. угрозы, нацеленные на всю информационную систему
  2. угрозы, нацеленные на отдельные компоненты ИС

По причине возникновения

  1. угрозы, возникшие из-за недостаточности средств технич еской защиты
  2. угрозы, возникшие из-за недостаточности организационных мер

По размеру ущерба

  1. незначительные
  2. значительные
  3. критичные

По каналу проникновения

  1. угрозы, проникающие через уязвимости ПО, небезопасные съемные носители
  2. угрозы, проникающие через бреши в системах авторизации, недостатки систем хранения документов и др.

По виду реализации угрозы

  1. вредоносные программы, спам-письма, программные закладки, хакерские атаки
  2. уязвимые процедуры авторизации и другие регламенты информационной безопасности
  3. стихийные бедствия

По происхождению

  1. Природные угрозы - это угрозы, вызванные воздействиями на информационную систему и ее элементы объективных физических процессов или стихийных природных явлений, не зависящих от человека.
  2. Антропогенные угрозы - это угрозы информационной системе, вызванные деятельностью человека.
  3. Техногенные угрозы – это угрозы , которые были вызваны неисправностями технических средств и систем.

По предвидению последствий нарушителем

Основные понятия

Нарушитель

Кто же является нарушителем безопасности информационной системы?

Как нарушитель рассматривается лицо, которое может получить доступ к работе с включенными в состав информационной системы средствами. Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами информационной системы. Выделяют четыре уровня этих возможностей. Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего:

    • первый уровень определяет самый низкий уровень возможностей проведения диалога с информационной системой, возможность запуска фиксированного набора задач (программ), реализующих заранее предусмотренные функции обработки информации;
    • второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями обработки информации;
    • третий уровень определяется возможностью управления функционированием информационной системы, то есть воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования;
    • четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт аппаратных компонентов информационной системы, вплоть до включения в состав информационной системы собственных средств с новыми функциями обработки информации.

    Предполагается, что для каждого уровня нарушитель это специалист высокой квалификации, имеющий полную информацию об информационной системе и комплекс средств защиты.

    Кроме разделения по уровням, всех нарушителей возможно классифицировать следующим образом:

      • по уровню знаний об информационной системе;
      • по уровню возможностей (использованным методом и средством);
      • по времени действия;
      • по месту действия.

      Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена ​​перечислением нескольких вариантов его облика. Методы проверки полученных моделей, их соответствия реальной системы и порядок определения потенциально уязвимых мест в системе являются обязательными при создании модели. Так ошибки персонала могут составлять 55%, нечестные сотрудники - 10%, обиженные лица - 9%, внешний нападение – 1-3%, вирусы 4%, проблемы физической защиты (стихийные бедствия, нарушения электропитания (снижение или повышение напряжения, колебания мощности), отопления и т.д.) - 20%. Ведь очевидно, что не сами информационные системы пишут вирусы, искажают данные, похищают важную информацию и оборудования.

      Атака

      Под взломом системы понимают умышленное проникновение в систему, когда взломщик не имеет санкционированных параметров для входа. Способы взлома могут быть различными, и при некоторых из них происходит совпадение с ранее описанными угрозами. Так, объектом охоты часто становится пароль другого пользователя. Пароль может быть вскрыт, например, путем перебора возможных паролей. Взлом системы можно осуществить также, используя ошибки программы входа.

      При использовании программ первого класса воздействие оказывается более длительным по времени и, следовательно, имеет более высокую вероятность обнаружения, но более гибким, позволяющим оперативно менять порядок действий. Воздействие с помощью программ второго класса (например, с помощью вирусов) является кратковременным, трудно диагностируемым, гораздо более опасным, но требует большой… Читать ещё >

      БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАТИКИ И РАДИОЭЛЕКТРОНИКИ Кафедра РЭС РЕФЕРАТ На тему:

      Угроза безопасности — потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба (защищаемому ресурсу) предприятию.

      Угрозы можно классифицировать по различным основаниям и измерять в количественных параметрах. Возможны следующие типы угроз: экономические, социальные, правовые, организационные, информационные, экологические, технические и криминальные.

      Рассмотрим механизм осуществления угрозы.

      Уязвимость — это присущие предприятию причины обусловленными особенностями хранения, использования, транспортировки, охраны и защиты ресурсов, приводящие к нарушению безопасности конкретного ресурса.

      Атака — реализация угрозы.

      Ущерб — невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. (материальный, физический, моральный).

      В любом рассматриваемом времени и месте существует ряд факторов, которые каким-либо образом влияют на вероятность возникновения и возможность осуществления угроз.

      Портрет потенциального НАРУШИТЕЛЯ безопасности информационного ресурса может быть представлен следующим образом: Нарушитель — это лицо, по ошибке, незнанию или осознанно предпринявшее попытку выполнения запрещенных операций и использующее для этого различные возможности, методы и средства.

      Уровни технической оснащенности нарушителя и его знаний о физических принципах работы систем охраны, установленных на объекте, определяют возможность и время, необходимое ему на преодоление средств инженерной защиты и обход сигнализационной техники.

      через двери и окна первого этажа;

      по коммуникационным и техническим проемам подвала или цокольного этажа;

      с крыши через окна или другие проемы верхних этажей;

      путем разрушения ограждений (разбивание стекол, пролом дверей, решеток, стен, крыши, внутренних перегородок, пола и т. п. ).

      Рассматривают две группы способов реализации угроз (враждебных действий) — контактные, бесконтактные.

      Способы проникновения на объект, в его здания и помещения могут быть самые различные (это описано во многих литературных источниках), например:

      разбитие окна, витрины, остекленной двери или других остекленных проемов;

      взлом (отжатие) двери, перепиливание (перекус) дужек замка и другие способы проникновения через дверь;

      пролом потолка, подлежащего блокировке;

      пролом капитального потолка, не подлежащего блокировке;

      пролом стены, подлежащей блокировке;

      пролом капитальной стены, не подлежащей блокировке;

      пролом (подкоп) капитального пола, не подлежащего блокировке;

      пролом (подкоп) пола, подлежащего блокировке;

      проникновение через разгрузочный люк;

      проникновение через вентиляционное отверстие, дымоход или другие строительные коммуникации;

      проникновение подбором ключей;

      оставление нарушителя на объекте до его закрытия;

      свободный доступ нарушителя на объект в связи с времен-ным нарушением целостности здания из-за влияния природно-техногенных факторов или в период проведения ремонта;

      проникновение через ограждение (забор, сетку, решетку), ис-пользуя подкоп, перелаз, разрушение, прыжок с шестом и т. д.

      Каждый тип нарушителей (неподготовленный, подготовленный, квалифицированный) будет осуществлять проникновение на объект по разному — менее или более грамотно используя различные условия, способствующие проникновению, как то:

      отключение электроэнергии на объекте, в районе, городе;

      постановка нарушителем помех ТСО на объекте;

      постановка нарушителем помех в канале связи объекта с охраной;

      предварительный вывод из строя ТСО на объекте;

      предварительный вывод из строя канала связи объекта с охраной;

      предварительный сговор нарушителя с персоналом объекта;

      предварительный сговор нарушителя с персоналом службы охраны объекта;

      создание и использование многих и многих других условий для проникновения на охраняемый объект, например: использование дрессированных животных и птиц, специальных технических средств обхода ТСО, специальных технических средств для предварительного изучения объекта и т. д.

      Модель нарушителя информационной безопасности может быть дополнена некоторыми показателями, определяемыми особенностями человеческого характера. Сотрудники охраняемого объекта, участвующие в процессах движения информации, могут быть возможными нарушителями. Типы угроз компьютерной информации и возможные нарушители представлены в таблице.

      Любой нарушитель для реализации своих замыслов руководствуется определенной мотивацией и намерениями, владеет совокупностью знаний, умений и навыков (способов) совершения противоправных действий с применением технических средств, имеет в своем распоряжении соответствующие технические средства. Он знает систему защиты информации на объекте или имеет Возможность доступа к конкретным информационным ресурсам, сам выбирает время и место предполагаемого нарушения.

      Правовое положение работника на предприятии определяется положениями Конституции РБ , а также условиями контракта (трудового соглашения) и организационно-распорядительными документами, действующими на данном предприятии, в т. ч. и в части обеспечения безопасности на своем участке работы. Работодатель обязан предпринять меры для защиты работника от возможных угроз его здоровью, жизни, интересам, а работник, в свою очередь — добросовестно выполнить обязательства, взятые на себя при оформлении контракта во время приема на работу.

      Угрозы Персоналу (человеку) могут быть выражены явлениями и действиями такими как:

      1) Стихийные бедствия;

      2) Вредные условия труда; попытки внесения изменений в технологические процессы производства, с целью подготовки и совершения технологических аварий; техногенные аварии;

      3) Психологический террор, угрозы, компромат, распространение ложной информации (то ли он украл, то ли у него украли), запугивание, шантаж, вымогательство;

      4) Нападение, с целью завладения денежными средствами, ценностями, сведениями конфиденциального характера и документами;

      5) Внесение опасных для здоровья изменений в окружающую среду (радиоактивное, химическое, бактериологическое заражение и т. п. );

      8) Убийства, сопровождаемые насилием, издевательствами и пытками и другие.

      Способы осуществления угроз персоналу разнообразны и зависят от исполнителя угрозы, его подготовки и оснащенности.

      Угрозы материальным ресурсам.

      Ценным ресурсам предприятия с физической формой существования могут угрожать:

      Хищения — совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества;

      Повреждение — изменение свойств имущества, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становиться полностью или частично непригодным для целевого использования. Повреждение осуществляется с помощью поджогов, взрывов, обстрелов из огнестрельного оружия и другими способами ограждений, входных дверей, ворот, решеток, витрин, и т. п. ; транспортных средств, технологического транспорта и оборудования; средств и систем связи и сигнализации; систем жизнеобеспечения предприятия.

      Уничтожение — внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводится в полную непригодность для использования по целевому назначению. Уничтоженное имущество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота.

      Заражение радиоактивными, химическими, бактериологическими веществами;

      Пикетирование, блокирование входов, вторжение, захват и другие.

      Способы осуществления угроз ценным ресурсам, существующим в физической форме, также разнообразны и зависят от исполнителя угрозы, его подготовки и оснащенности.

      Угрозы информационным ресурсам.

      Классификация угроз информационным ресурсам.

      Угрозы информационным ресурсам можно в общем случае классифицировать:

      1). По цели реализации угроз:

      хищение (копирование) информации и средств ее обработки (носителей);

      утрата (неумышленная потеря, утечка) информации и средств ее обработки (носителей);

      уничтожение информации и средств ее обработки (носителей);

      модификация (искажение) информации;

      отрицание подлинности информации;

      навязывание ложной информации, обман При этом:

      Хищение и Уничтожение информации понимается аналогично по применению к материальным ценным ресурсам. Уничтожение компьютерной информации — стирание информации в памяти ЭВМ ["https://referat.bookap.info", 27].

      Копирование информации — повторение и устойчивое запечатление информации на машинном или ином носителе.

      Повреждение — изменение свойств носителя информации, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и он становиться полностью или частично непригодным для целевого использования.

      Модификация информации — внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных для компьютерной информации.

      Блокирование информации — несанкционированное затруднение доступа пользователей к информации, не связанное с ее уничтожением;

      Несанкционированное уничтожение, блокирование, модификация, копирование информации — любые, не разрешенные Законом, собственником или компетентным пользователем указанных действий с информацией.

      2) По принципу воздействия на носители информации — систему обработки и передачи информации (АСОИ):

      с использованием доступа нарушителя (злоумышленника, пользователя АСОИ, процесса) к объекту (в комнату переговоров, к файлу данных, каналу связи и т. д. );

      с использованием скрытых каналов — с применением ЗУ, РЗУ, путей передачи информации, позволяющих двум взаимосвязанным процессам (легитимному и внедренному злоумышленником) обмениваться информацией таким способом, который приводит к у теске информации.

      3) По характеру воздействия на систему обработки и передачи информации:

      — активные угрозы, связанные с выполнением нарушителем каких-либо действий, (копирование, несанкционированная запись, доступ к наборам данных, программам, вскрытие пароля и т. д. );

      — пассивные угрозы, осуществляются путем наблюдения пользователем каких-либо побочных эффектов процессов движения информации и их анализа.

      4) По факту наличия возможной для использования ошибки защиты угроза может быть обусловлена одной из следующих причин:

      неадекватностью — несоответствием режиму безопасности защиты зоны охраны.

      ошибками административного управлениярежима безопасности;

      ошибками в алгоритмах программ, в связях между ними и т. д. , которые возникают на этапе проектирования программ или комплекса программ и из-за которых эти программы могут быть использованы совсем не так, как описано в документации.

      ошибками реализации алгоритмов программ (ошибки кодирования), связей между ними и т. д. , которые возникают на этапах реализации, отладки и могут служить источником недокументированных свойств.

      5) По способу воздействия на объект атаки (при активном воздействии):

      непосредственное воздействие на объект атаки (в том числе с использованием привилегий), например: непосредственный доступ в зоны слышимости и видимости, к набору данных, программе, службе, каналу связи и т. д. , воспользовавшись какой-либо ошибкой;

      воздействие на систему разрешений (в том числе захват привилегий). При этом несанкционированные действия выполняются относительно прав пользователей на объект атаки, а сам доступ к объекту осуществляется потом законным образом;

      опосредованное воздействие (через других пользователей):

      " маскарад". В этом случае пользователь присваивает себе каким-либо образом полномочия другого пользователя, выдавая себя за него;

      " использование вслепую". При таком способе один пользователь заставляет другого выполнить необходимые действия (для системы защиты они не выглядят несанкционированными, ибо их выполняет пользователь, имеющий на это право), причем последний о них может и не подозревать. Для реализации этой угрозы может использоваться вирус (он выполняет необходимые действия и сообщает о их результате тому, кто его внедрил).

      Два последних способа очень опасны. Для предотвращения подобных действий требуется постоянный контроль как со стороны администраторов и операторов за работой АСОИ в целом, так и со стороны пользователей за своими собственными наборами данных.

      6) По способу воздействия на АСОИ:

      в интерактивном режиме — в процессе длительной работы с программой;

      в пакетном режиме — после долговременной подготовки быстрым внедрением пакета программ направленного действия.

      Работая с системой, пользователь всегда имеет дело с какой-либо ее программой. Одни программы составлены так, что пользователь может оперативно воздействовать на ход их выполнения, вводя различные команды или данные, а другие так, что всю информацию приходится задавать заранее. К первым относятся, например, некоторые утилиты, управляющие программы баз данных, в основном — это программы, ориентированные на работу с пользователем. Ко вторым относятся в основном системные и прикладные программы, ориентированные на выполнение каких-либо строго определенных действий без участия пользователя.

      При использовании программ первого класса воздействие оказывается более длительным по времени и, следовательно, имеет более высокую вероятность обнаружения, но более гибким, позволяющим оперативно менять порядок действий. Воздействие с помощью программ второго класса (например, с помощью вирусов) является кратковременным, трудно диагностируемым, гораздо более опасным, но требует большой предварительной подготовки для того, чтобы заранее предусмотреть все возможные последствия вмешательства.

      7) По объекту атаки:

      объекты АСОИ — данные или программы в оперативной памяти или на внешних носителях, сами устройства системы, как внешние (дисководы, сетевые устройства, терминалы), так и внутренние (оперативная память, процессор), каналы передачи данных. Воздействие на объекты системы обычно имеет целью доступ к их содержимому (нарушение конфиденциальности или целостности обрабатываемой или хранимой информации) или нарушение их функциональности (например, заполнение всей оперативной памяти компьютера бессмысленной информацией или загрузка процессора компьютера задачей с неограниченным временем исполнения);

      субъекты АСОИ — процессоры пользователей. Целью таких атак является либо прямое воздействие на работу процессора — его приостановка, изменение характеристик (например, приоритета), либо обратное воздействие — использование злоумышленником привилегий, характеристик другого процесса в своих целях. Воздействие может оказываться на процессы пользователей, системы, сети;

      8) По используемым средствам атаки:

      — с использованием стандартного программного обеспечения;

      — с использованием специально разработанных программ.

      9) По состоянию объекта атаки.

      Объект атаки хранится на диске, магнитной ленте, в оперативной памяти или в любом другом месте в пассивном состоянии. При этом воздействие на объект обычно осуществляется с использованием доступа; Объект атаки находится в состоянии передачи по линии связи между узлами сети или внутри узла. Воздействие предполагает либо доступ к фрагментам передаваемой информации (например, перехват пакетов на ретрансляторе сети), либо просто прослушивание с использованием скрытых каналов; Объект атаки (процесс пользователя) находиться в состоянии обработки.

      Приведенная классификация показывает сложность определения возможных угроз и способов их реализации. Источники угроз информационным ресурсам аналогичны ранее рассмотренным источникам угроз для материальных ресурсов и могут быть представлены в таблице, как:

      — Потенциальные преступники и хакеры

      — Представители надзорных организаций и аварийных служб

      — Представители силовых структур

      — Основной персонал (пользователи, программисты, разработчики)

      — Представители службы защиты информации (администраторы)

      — Вспомогательный персонал (уборщики, охрана)

      — Технический персонал (жизнеобеспечение, эксплуатация)

      Средства связи (передачи информации)

      Сети инженерных коммуникаций (энергоснабжения, водоснабжения, отопления, вентиляции, канализации)

      ВНУТРЕННИЕ ТЕХНОГЕННЫЕ ИСТОЧНИКИ УГРОЗ

      Некачественные технические средства обработки информации

      Некачественные программные средства обработки информации

      Вспомогательные средства (охраны, сигнализации, телефонии)

      Другие технические средства, применяемые в учреждении

      СТИХИЙНЫЕ ИСТОЧНИКИ УГРОЗ

      Различные непредвиденные обстоятельства

      Необъяснимые явления Другие форс-мажорные обстоятельства**

      * Особую группу внутренних, антропогенных источников составляют специально внедренные и завербованные агенты из числа основного, вспомогательного, технического персонала и представителей службы защиты информации. Эта группа не рассматривается как самостоятельная, но при анализе, в случае возникновения потенциальной возможности внедрения агентов, необходимо учитывать особенности защиты от таких источников при рассмотрении возможностей внутренних антропогенных источников.

      1. Барсуков, В. С. Безопасность : технологии, средства, услуги / В. С. Барсуков . — М., 2001 — 496 с.

      2. Ярочкин, В. И. Информационная безопасность. Учебник для студентов вузов / 3-е изд. — М.: Академический проект: Трикста, 2005.-544 с.

      3. Барсуков, В. С. Современные технологии безопасности / В. С. Барсуков , В. В. Водолазский . — М.: Нолидж, 2000. — 496 с., ил.

      4. Зегжда, Д. П. Основы безопасности информационных систем / Д. П. Зегжда , А. М. Ивашко . — М.: Горячая линия — Телеком, 2000. — 452 с., ил

      5. Компьютерная преступность и информационная безопасность / А. П. Леонов [и др.]; под общ. Ред. А. П. Леонова . — Минск: АРИЛ, 2000.-552 с.

      Попытка реализовать несанкционированный доступ к информационным сетям с целью что ли бо сделать с данными в сети есть компьютерное пиратство. Прослеживая это социальное явление есть тенденция к стремительному росту атак на информационные сети. Компьютерных злоумышленников не интересует как хорошо реализован контроль информационной системы, они ищут одну лазейку которая даст им нужную цель. Используя разные факторы они реализуют преступления, которые как считают они, легче чем ограбление банка в живую. При этом могут быть использованы методы вымогательства или взяточничества. Мало предприятий, где высшее руководство верит в то, что их предприятие может понести убытки из-за хакеров, а еще меньше которые интересовались вопросом угрозы информационной безопасности и проблемы защиты информации в сетях. Множество менеджеров под воздействием информационных волн считают, что нарушители это школьники, и против них нужно бороться. В зависимости от целей или мотивов, действия нарушителя делят на:

      • Идейные хакеры.
      • Искатели приключений.
      • Хакеры — профессионалы.
      • Ненадежные сотрудники.

      Искатель приключений, он обычно молодой студент или школьник, без продуманного плана реализации атак. Выбирает случайную цель. Идейный хакер — Он выбирает конкретные цели. Свои достижения рассказывает широкой аудитории или размещает данные на веб ресурсах. Хакер-профессионал — человек с четким планом действий. Атаки продуманы в несколько этапов. Сбор информации и сам взлом. Обычно такие люди финансируются для целей, которые ему не свойственны, но ему платят. Ненадежный сотрудник — его действие могут иметь большие последствия, так как он доверенное лицо системы. Ему не нужно выдумывать сложные атаки для реализации своей цели. Еще одна модель нарушителя показана на рис.1.

      модель нарушителя безопасности информации

      Нарушитель, обычно специалист определенной квалификации, которые пытается узнать все о информационной системе и о средствах защиты информации.

      Также у служащих, можно выделить следующие мотивы для помощи злоумышленникам:

      • Реакция на замечание или выговор от руководителя.
      • Недовольство действиями руководства.

      Руководитель как неудовлетворяющий сотрудника, одна из самых больших угроз в системе коллективного пользования.

      Компьютерные атаки обычно сильно спланированы и реализуются со знанием сферы деятельности. Мотивом нарушения обычно есть деньги. Все злоумышленники пытаются свести свой риск к минимуму. В современных информационных системах, где очень сложные системы защиты и других методов совершения транспортировки информации, существует дополнительный риск, что с изменением одного элемента системы может привести к сбою работы других элементов. Многие года шпионаж реализуется как метод, которые вынуждает идти сотрудников за минимальное вознаграждение.

      Модель

      Модель вероятного нарушителя ИС нужна для систематизации данных о возможностях и типах субъектов, целях несанкционированных воздействиях и выработки адекватных организационных и технических методов противодействия. При разработке модели нарушителя ИС нужно учитывать:

      • Категории лиц, к которым можно отнести нарушителя.
      • Цели, градации по степени опасности и важности.
      • Анализ его технической мощности.
      • Предположения и ограничения о характере действий.

      По наличию права разового или постоянного доступа нарушители делятся на два типа: нарушители которые используют внешние угрозы и нарушители которые имеют доступ к ИС и используют внутренние угрозы. В таблице 1 наведены категории лиц которые могут использовать внутренние или внешние угрозы.

      Тип нарушителя Категории лиц
      Внешний криминальные структуры; посетители; Разведывательные службы государств; лица, случайно или умышленно нарушившие пропускной режим; любые лица за пределами контролируемой территории.
      Внутренний персонал, обслуживающий технические средства (инженеры, техники); сотрудники отделов; администраторы ИС; сотрудники службы безопасности; руководители различных уровней должностной иерархии.

      На предприятиях с целью уменьшения вероятности несанкционированного доступа в разные части предприятия, реализован метод создания рубежей защиты. Территория предприятия делится на несколько зон, которые ранжированные по степени секретности и уровня доступа. В итоге имеет возможность для разграничения доступа к важным информационным ресуарсам. Примером может быть рис. 2.

      пример рубежей защиты на предприятии

      В таблице наведены группы внутренних нарушителей относительно рубежей защиты предприятия и возможности доступа.

      Итоги

      После систематизации знаний о потенциальных нарушителей для ИС, реализуется модель безопасности информации. После построения модели угроз, определяется частота возникновения угроз. Определяя частоту реализации угроз, нужно учитывать возможности нарушителя.

      Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.



      Модель нарушителя информационной безопасности

      Модель нарушителя информационной безопасности – это набор предположений об одном или нескольких возможных нарушителях информационной безопасности, их квалификации, их технических и материальных средствах и т. д.

      Правильно разработанная модель нарушителя является гарантией построения адекватной системы обеспечения информационной безопасности. Опираясь на построенную модель, уже можно строить адекватную систему информационной защиты.

      Чаще всего строится неформальная модель нарушителя, отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей: способы реализации исходящих от него угроз, место и характер действия, возможная тактика и т. п. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы.

      Определив основные причины нарушений, представляется возможным оказать на них влияние или необходимым образом скорректировать требования к системе защиты от данного типа угроз. При анализе нарушений защиты необходимо уделять внимание субъекту (личности) нарушителя. Устранение причин или мотивов, побудивших к нарушению, в дальнейшем может помочь избежать повторения подобного случая.

      Модель может быть не одна, целесообразно построить несколько отличающихся моделей разных типов нарушителей информационной безопасности объекта защиты.

      Для построения модели нарушителя используется информация, полученная от служб безопасности и аналитических групп, данные о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадиях их передачи, обработки и хранении, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях нарушения информационной безопасности и т. п.

      Кроме этого оцениваются реальные оперативные технические возможности злоумышленника для воздействия на систему защиты или на защищаемый объект. Под техническими возможностями подразумевается перечень различных технических средств, которыми может располагать нарушитель в процессе совершения действий, направленных против системы информационной защиты.

      Нарушители бывают внутренними и внешними.

      Среди внутренних нарушителей в первую очередь можно выделить:

      • непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней;
      • администраторов вычислительных сетей и информационной безопасности;
      • прикладных и системных программистов;
      • сотрудников службы безопасности;
      • технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до сервисного инженера;
      • вспомогательный персонал и временных работников.

      Среди причин, побуждающих сотрудников к неправомерным действиям, можно указать следующие:

      Группу внешних нарушителей могут составлять:

      • клиенты;
      • приглашенные посетители;
      • представители конкурирующих организаций;
      • сотрудники органов ведомственного надзора и управления;
      • нарушители пропускного режима;
      • наблюдатели за пределами охраняемой территории.

      Помимо этого классификацию можно проводить по следующим параметрам.

      Используемые методы и средства:

      Уровень знаний нарушителя относительно организации информационной структуры:

      • типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;
      • высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;
      • высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;
      • обладание сведениями о средствах и механизмах защиты атакуемой системы;
      • нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.

      Время информационного воздействия:

      • в момент обработки информации;
      • в момент передачи данных;
      • в процессе хранения данных (учитывая рабочее и нерабочее состояния системы).

      По месту осуществления воздействия:

      • удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;
      • доступ на охраняемую территорию;
      • непосредственный физический контакт с вычислительной техникой, при этом можно выделить: доступ к рабочим станциям, доступ к серверам предприятия, доступ к системам администрирования, контроля и управления информационной системой, доступ к программам управления системы обеспечения информационной безопасности.

      В таблице 2.3 приведены примеры моделей нарушителей информационной безопасности и их сравнительная характеристика.

      Конкретных примеров нарушителей (террористы, конкуренты и т.д.) в своих документах ФСБ не дает. Но можно вспомнить, что ранее были методические рекомендации ФСБ от 2008 года. В них то как раз рассказывалось о 6 типах нарушителей, которые обозначались как Н1- Н6. Возможности описанные в новых документах ФСБ соответствуют тем самым нарушителям Н1 - Н6 из старых методических рекомендаций.


      • Скрещивание нарушителей ФСТЭК и ФСБ:

      1. Нарушители с низким потенциалом по ФСТЭК – это нарушители Н1-Н3 по классификации ФСБ;

      2. Нарушитель со средним потенциалом по ФСТЭК – это нарушители Н4-Н5 по классификации ФСБ;

      3. Нарушитель с высоким потенциалом по ФСТЭК – это нарушитель Н6 по ФСБ (т.е. сотрудник иностранной технической разведки).

      В информационных системах 1 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В информационных системах 2 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В информационных системах 3 класса защищенности применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия (Пункт 26).


      1. Угрозы 1-го типа - связаны с наличием НДВ в системном ПО.

      2. Угрозы 2-го типа связаны с наличием НДВ в прикладном ПО.

      3. Угрозы 3-го типа не связаны с наличием НДВ в ПО.

      У методик ФСТЭК и ФСБ есть внятные точки соприкосновения. Грамотно комбинируя обе методики, можно разработать общую и непротиворечивую модель угроз. А заодно и снизить потенциал нарушителя и класс используемых средств защиты.

      Для каждого класса можно подобрать подходящих нарушителей из методики ФСТЭК (при этом обоснованно исключив остальных нарушителей).

      Каждый нарушитель из методики ФСТЭК соотносится с определенным типом нарушителей из методики ФСБ (а также с соответствующим классом криптосредств).


      1. Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе.

      1. данные об аппаратном, общесистемном и прикладном программном обеспечении, применяемых информационных технологиях, особенностях функционирования информационной системы;

      2. данные об уязвимостях в аппаратном, общесистемном и прикладном программном обеспечении, опубликованные в различных базах данных уязвимостей, полученные в результате исследований (тестировании) или полученные от уполномоченных федеральных органов исполнительной власти и организаций.

      1. время, затрачиваемое нарушителем на идентификацию и использование уязвимости (затрачиваемое время);

      2. техническая компетентность нарушителя;

      3. знание нарушителем проекта и информационной системы; оснащенность нарушителя;

      4. возможности нарушителя по доступу к информационной системе. Во многих случаях указанные показатели являются зависимыми и могут в различной степени заменять друг друга.

      Для конкретной потенциальной уязвимости может возникнуть необходимость определять показатели несколько раз для различных способов реализации угроз безопасности информации. При этом следует выбирать наибольшее значение, полученное при каждом расчете показателей. Полученные на основе таблицы 1 значения характеристик потенциала нарушителя суммируются. Полученная сумма значений характеристик соотносится с диапазонами значений, приведенных в таблице 1.1, в соответствии с которой определяется потенциал нарушителя, необходимый для реализации угрозы безопасности информации.

      Таблица 1.1 – Диапазон значений


      Диапазон значений
      Потенциал нарушителя

      24
      Высокий

      Мотивация нарушителя для реализации угроз безопасности информации может быть базовой или повышенной. Мотивация нарушителя характеризует уровень устремлений нарушителя к информации, содержащейся в информационной системе, или информационной системе в целом. При определении потенциала нарушителя необходимо исходить, как минимум, из его базовой мотивации.

      Потенциал нарушителя, требуемый для реализации угрозы безопасности информации, переходит на следующий уровень (от низкого к среднего или от среднего к высокому), если выяснено, что нарушитель имеет повышенную мотивацию реализации угроз безопасности по отношению к информационной системе.


      1. имеются сведения (в том числе опубликованные в общедоступных источниках) об устремлениях нарушителей к конкретной информационной системе и (или) отдельным ее объектам защиты; например, если информация, обрабатываемая в информационной системе, является высокой ценной для нарушителя или для нарушителя является крайне приоритетным нанести ущерб оператору информационной системы;

      2. имеется информация, полученная от уполномоченных федеральных органов исполнительной власти, о намерении нарушителя осуществить неправомерные действия в отношении информационной системы и (или) информации, содержащейся в этой информационной системе.

      Таким образом, в ходе определения потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе были приведены основные аспекты данной темы. Основываясь на этом, а также на предположениях мотиваций нарушителей и их подготовленностью, были описаны и ранжированы возможные виды предполагаемых нарушителей. Как следствие, модель позволяет построить полное и универсальное по отношению к различным системам описание вероятного нарушителя информационной безопасности.


      1. типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;

      2. цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;

      3. возможные способы реализации угроз безопасности информации.

      От зависимости имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.


      1. устройств ввода/вывода (отображения) информации; беспроводных устройств; программных, программно-технических и технических средств обработки

      2. информации; съемных машинных носителей информации; машинных носителей информации, выведенных из эксплуатации; активного (коммутационного) и пассивного оборудования каналов связи; каналов связи, выходящих за пределы контролируемой зоны.

      1. внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;

      2. внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.

      1. виды и потенциал нарушителей:

      1. специальные службы иностранных государств (блоков государств); террористические, экстремистские группировки; преступные группы (криминальные структуры); внешние субъекты (физические лица); конкурирующие организации;

      2. разработчики, производители, поставщики программных, технических и программно-технических средств;

      3. лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;

      4. лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики т.д.);

      5. пользователи информационной системы;

      6. администраторы информационной системы и администраторы безопасности;

      7. бывшие работники (пользователи).

      Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирования информационной системы.

      При определении способа реализации угроз безопасности информации необходимо учитывать то, что угрозы безопасности информации могут быть реализованы непосредственно за счет доступа к компонентам информационной системы и (или) информации или косвенно за счет создания условий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или воздействия на обслуживающую инфраструктуру, за которую оператор не отвечает. При этом локальной целью нарушителя, не имеющего прав доступа к компонентам информационной системы и (или) информации, как правило, является получение доступа к информационной системе (в том числе через внешние сети связи общего пользования) и получение максимально возможных прав и привилегий при таком доступе.

      Вывод: Безусловно, определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя может быть построена с учетом особенностей конкретной предметной области и технологии обработки информации, а так же может быть представлена перечислением нескольких вариантов его облика.

      Имеют осведомленность о мерах защиты информации, применяемых в информационной системе данного типа.

      Имеют возможность получить доступ к программному обеспечению чипсетов (микропрограммам), системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-техническим средствам информационной системы для преднамеренного внесения в них уязвимостей или программных закладок. Имеют хорошую осведомленность о мерах защиты информации, применяемых в информационной системе, об алгоритмах, аппаратных и программных средствах, используемых в информационной системе.


      • Начнем с простого варианта. Это хакер-одиночка, обладающий стандартным персональным компьютером на базе OS Linux с выделенным выходом в Интернет.

      1. четко выполнять правила, предписанные политикой безопасности организации;

      2. устанавливать последние версии используемых программных продуктов и операционных систем, а также выпускаемые к ним патчи и расширения;

      3. отслеживать публичные списки обнаруживаемых уязвимостей в аппаратных и программных продуктах известных производителей и совершать рекомендуемые действия для предотвращения реализации угроз с использованием обнаруженных уязвимостей.

      • Следующий по опасности тип злоумышленника - это объединенная хакерская группа, она достаточно скована в своих финансовых возможностях, еще не обладает вычислительными мощностями уровня крупной организации и подобным пропускным каналом в Интернет, но ее владение суммарными знаниями в области компьютерных технологий представляет большую опасность.

      • Следующий тип - предприятие-конкурент или рейдеры. Данная модель включает собственные мощные вычислительные сети и каналы передачи данных с высокой пропускной способностью для выхода в Интернет, большие финансовые возможности, глубокие знания компьютерных специалистов. Возможны попытки подкупа сотрудников службы безопасности или иные действия из области социальной инженерии. Конкуренты могут предпринять серьезные усилия для получения сведений о функционировании системы информационной защиты, в том числе внедрить своего представителя в службу безопасности или администрирования вычислительной сети.

      1. блокирование функционирования информационной системы конкурента;

      2. доступ к чужой информации, подмена критичных данных и документов; нанесение подрыва в имидже;

      3. деструктивные действия, направленные на причинение непоправимого ущерба конкуренту, вплоть до его разорения и банкротства или поглощения.

      • Самым серьезным соперником для службы безопасности организации являются коррумпированные представители различных структур ведомственного уровня, а также спецслужбы различных государств. Они обладают практически неограниченными вычислительными и финансовыми возможностями, самостоятельно регулируют и контролируют трафик в сети Интернет. Здесь работают высококвалифицированные ИТ-специалисты. В некоторых странах известны примеры, когда вместо тюремного заключения или после него известного хакера берут в службу национальной безопасности.

      Цели, преследуемые такой группой, весьма разнообразны, и их невозможно предугадать заранее. Подобные преступные элементы могут не утруждать себя сокрытием своих действий, и, как уже говорилось, практически ничто не способно их остановить. Они могут пользоваться поддержкой как законодательных, так и иных правовых актов, а также опекой органов исполнительной и судебной власти.

      Опасность может исходить и от спецслужб или разведывательных служб других государств, имеющих личные интересы в данном секторе экономики или оказывающих воздействие на различные направления деятельности государства.

      Для борьбы с данной группой необходимо организовать защиту информации на очень высоком уровне, что подразумевает существенные издержки. Кроме того, требуется создавать собственные службы безопасности, оснащенные и обученные лучше ведомственных. Но такой поворот событий чреват вступлением в открытое противостояние с этими органами.
      Вывод:

      При оценке возможностей нарушителей необходимо исходить из условий, что для повышения своих возможностей нарушители могут вступать в сговор с другими нарушителями. В случае принятия таких предположений цели (мотивация) и возможности нарушителей подлежат объединению, а так же возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом.
      ЗАКЛЮЧЕНИЕ
      Для того, чтобы разработанная модель нарушителя приносила пользу в решении проблем информационной безопасности, а не была простой формальностью, она должна быть строго адаптирована на конкретный объект информационной защиты. Кроме того, каждый элемент модели нарушителя должен иметь продолжение как в виде причинно-следственных связей между отдельными элементами, так и в виде детализации информации, содержащейся в каждом из них. Такая детализация предполагает построение цепочек предполагаемых последствий наступления тех или иных заключений относительно облика нарушителя.

      Построение причинно - следственных связей между элементами модели и цепочек предполагаемых последствий требует знаний в области социально-психологических аспектов деятельности нарушителя, в области техники промышленного шпионажа, возможностей средств информационной защиты и целого ряда других, неразрывно связанных с проблемой защиты информации. Ну, и наконец, корректное построение модели нарушителя позволяет проектировать и реализовывать систему обеспечения защиты информации в вычислительных системах организации адекватно имеющимся угрозам, что, в свою очередь, гарантирует достижение эффективного баланса между стоимостью защиты и уровнем безопасности.

      Читайте также: