Моделі загроз та порушника
ДФ – це такі явища чи події, що можуть з'являтися на будь-якому етапі життєвого циклу (ЖЦ) АС і наслідком яких можуть бути загрози інформації. У продовження ЖЦ АС може виникати багато ДФ і всілякої природи.
Тому, аналогічно [ ], на основі аналізу архітектури, технології й умов функціонування АС і всіх можливих у принципі ДФ зручно ввести поняття типу ДФ, що дозволяє класифікувати ДФ за способами їхньої реалізації. Вважаючи, що ця класифікація ДФ є вичерпної, виділимо наступні типи ДФ:
· кількісна недостатність – фізична недостача компонентів АС для забезпечення необхідного рівня захищеності оброблюваної інформації;
· якісна недостатність – недосконалість конструкції чи організації компонентів АС, внаслідок чого не забезпечується необхідний рівень захищеності оброблюваної інформації;
· відмова елементів АС – порушення працездатності елементів, що призводить до неможливості виконання ними своїх функцій;
· збій елементів АС – тимчасове порушення працездатності елементів, що призводить до неправильного виконання ними в цей момент своїх функцій;
· помилки елементів АС – неправильне (одноразове чи систематичне) виконання елементами своїх функцій внаслідок специфічного (постійного і/або тимчасового) їхнього стану;
· стихійні лиха – випадково виникаючі неконтрольовані явища, що призводять до фізичних руйнувань;
· злочинні дії – дії людей, що спеціально спрямовані на порушення захищеності інформації;
· побічні явища – явища, що супроводжують виконання елементом АС своїх функцій.
Звідси видно, що ДФ можуть мати об'єктивну природу (наприклад, відмовлення, збої і т.д.) чи суб'єктивну (наприклад, дії ЗЛ). В останньому випадку ДФ можуть бути випадковими чи навмисними. Помітимо, щоправда, характеристика випадковості чи навмисності може бути відносної. Наприклад, у [4] відзначається, що іноді свідомо додані функції в програмне забезпечення можуть заздалегідь визначати можливість ненавмисних дій (приміром, при видаленому налагодженні чи настроюванні систем).
Подальший аналіз ДФ показує, що важливо класифікувати ДФ по джерелах їхнього виникнення. Очевидно, що джерелами ДФ можуть бути як компоненти АС, так і зовнішнє середовище. Виділяються наступні джерела ДФ:
· персонал – люди, що мають яке-небудь відношення до функціонування АС;
· технічні засоби;
· моделі, алгоритми, програми;
· технологія функціонування – сукупність засобів, прийомів, правил, заходів і угод, що використовуються в процесі обробки інформації;
· зовнішнє середовище – сукупність елементів, що не входять до складу АС, але здатних впливати на захищеність інформації в АС.
Спільний розгляд типів ДФ і їхніх джерел показує, що формально може бути 40 різних сполучень «тип-джерело» ДФ. Однак фактично їх може бути менше, оскільки, звичайно, деякі з таких сполучень не мають практичного змісту. Дійсно, наприклад, на якісну недостатність компонентів АС для захисту інформації аж ніяк не може прямо вплинути зовнішнє середовище. Перераховані типи і джерела ДФ зручно звести до таблиці, кожна клітка якої відповідає ДФ визначеного типу з визначеного джерела.
Таблиця 4.1.
Джерела ДФ | |||||
Типи ДФ | Персонал | Технічні пристрої | Моделі, алгоритми, програми | Технологія функціонування | Зовнішнє середовище |
Якісна недостатність | - | ||||
Кількісна недостатність | - | ||||
Відмовлення | - | ||||
Збої | - | ||||
Помилки | - | ||||
Стихійні лиха | |||||
Злочинні дії | - | - | - | ||
Побічні явища |
У кожній клітині таблиці 4.1. проставлені номери рядка і стовпця. Відсутність же чисел означає, що таке сполучення принципово не може реалізуватися (отже, усього можливих сполучень – 32). Варто особливо звернути увагу на те, що в дійсності кожна клітка містить не один ДФ деякого типу з деякого джерела, а цілу їх множину.
Помітимо також, що перший стовпець і сьомий рядок таблиці 3.1. містять множину ДФ, що пов'язані з діяльністю людини. Опис дій (помилкових чи злочинних) людини є змістом моделі порушника. Цей тип ДФ принципово відрізняється від всіх інших. Якщо всі інші ДФ в основному реалізуються випадково, то злочинні дії реалізуються за участю людини. Останні відрізняються як своїми характеристиками і можливостями реалізації, так і труднощами їх формалізації. Варто також враховувати можливість імітації порушником випадкових ДФ.
Тепер залишається для кожної конкретної задачі побудови СЗІ формувати повні множини ДФ по кожному типу і кожному джерелу. Звернемо увагу на те, що повнота кожного з множини ДФ має абсолютний характер: хоча б один невстановлений ДФ може виявитися катастрофічним для всієї інформації в АС. Отже, процес побудови кожної множини ДФ повинен бути винятково ретельним і детальним. Для подальшої класифікації ДФ в окремих множинах (клітинах таблиці 3.1.) необхідно використовувати додаткові їхні особливості і характеристики. Наприклад, ДФ можуть бути активними і пасивними.
Розглянемо тепер модель порушника. Згідно з [ ] порушник (user violator) – користувач, який здійснює НСД до інформації. Оскільки під порушником розуміється людина, те цілком зрозуміло, що створення його формалізованої моделі дуже складна задача. Тому, звичайно, мова може йти тільки про неформальну або описову модель порушника. Отже, нижче подається опис можливого для даного класу ІСБ порушника.
Порушник – це особа, яка може отримати доступ до роботи з включеними в склад АС засобами. Вона може помилково, унаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснити спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Зрозуміло, що в кожному конкретному випадку для кожного об’єкта визначаються імовірні загрози і моделі потенціальних порушників – «провідників» цих загроз, включаючи можливі сценарії їх здійснення. Цей етап дуже складний, оскільки від служби безпеки необхідно для кожного об’єкта вибрати з декілька можливих типів порушників один, на який і буде орієнтована ІСБ, що проектується. Відповідно до нормативного документу [ ] модель порушника – це абстрактний формалізований або неформалізований опис порушника.
Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
При розробці моделі порушника визначаються:
· припущення щодо категорії осіб, до яких може належати порушник;
· припущення щодо мотивів дій порушника (цілей, які він переслідує);
· припущення щодо рівня кваліфікації та обізнаності порушника та його технічної оснащеності (щодо методів та засобів, які використовуються при здійсненні порушень);
· обмеження та припущення щодо характеру можливих дій порушників (за часом та місцем дії та інші).
Припускається, що у своєму рівні порушник – це фахівець вищої кваліфікації, який має повну інформацію про систему.
Звичайно розглядаються 5 типів порушників. Спочатку їх поділяють на дві групи: зовнішні і внутрішні порушники. Зовнішні порушники включають:
* добре озброєну й оснащену силову групу, що діє зовні швидко і напролом;
* поодинокий порушник, що не має допуску на об'єкт і намагається діяти потайки й обережно, так як він усвідомлює, що сили реагування мають перед ним переваги.
Серед потенціальних внутрішніх порушників можна відзначити:
* допоміжний персонал об'єкта, що допущений на об'єкт, але не допущений до житєво важливого центру (ЖВЦ) АС;
* основний персонал, що допущений до ЖВЦ (найбільш небезпечний тип порушників);
* співробітників служби безпеки, які часто формально і не допущені до ЖВЦ, але реально мають достатньо широкі можливості для збору необхідної інформації і скоєння акції.
Має також розглядатися можливість зговору між порушникам різних типів, що ще більш ускладнює задачу формалізації моделей порушника.
Але слід відзначити, що такий поділ є дуже загальним, а також не всі групи мають важливе значення для всіх АС.
Серед внутрішніх порушників можна виділити наступні категорії персоналу:
· користувачі (оператори) системи;
· персонал, що обслуговує технічні засоби (інженери, техніки);
· співробітники відділів розробки та супроводження ПЗ (прикладні та системні програмісти);
· технічний персонал, що обслуговує будівлю (прибиральниці, електрики, сантехніки та інші співробітники, що мають доступ до будівлі та приміщення, де розташовані компоненти АС);
· співробітники служби безпеки;
· керівники різних рівнів та посадової ієрархії.
· Сторонні особи, що можуть бути порушниками:
· клієнти (представники організацій, громадяни);
· відвідувачі (запрошені з якого-небудь приводу);
· представники організацій, взаємодіючих з питань забезпечення життєдіяльності організації (енерго-, водо-, теплопостачання і т.д.);
· представники конкуруючих організацій (іноземних служб) або особи, що діють за їх завданням;
· особи, які випадково або навмисно порушили пропускний режим (без мети порушити безпеку);
· будь-які особи за межами контрольованої зони.
Можна виділити також три основних мотиви порушень: безвідповідальність, самоствердження та з корисною метою.
При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або випадково виробляє руйнуючі дії, які не пов'язані проте зі злим умислом. У більшості випадків це слідство некомпетентності або недбалості. Деякі користувачі вважають одержання доступу до системних наборів даних значним успіхом, затіваючи свого роду гру “користувач – проти системи” заради самоствердження або у власних очах, або в очах колег.
Порушення безпеки АС може бути викликано корисливим інтересом користувача системи. У цьому випадку він буде цілеспрямовано намагатися перебороти систему захисту для доступу до інформації в АС. Навіть якщо АС має засоби, що роблять таке проникнення надзвичайно складним, цілком захистити її від проникнення практично неможливо.
Усіх порушників можна класифікувати за рівнем знань про АС:
· знає функціональні особливості АС, основні закономірності формування в ній масивів даних і потоків запитів до них, уміє користуватися штатними засобами;
· має високий рівень знань і досвід роботи з технічними засобами системи і їх обслуговуванням;
· має високий рівень знань в області програмування й обчислювальної техніки, проектування й експлуатації автоматизованих інформаційних систем;
· знає структуру, функції і механізм дії засобів захисту, їх сильні і слабкі сторони.
За рівнем можливостей (методам та засобам, що використовуються):
* застосовує чисто агентурні методи отримання відомостей;
* застосовує пасивні засоби (технічні засоби перехоплення без модифікації компонентів системи);
* використовує тільки штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути тайком пронесені крізь пости охорони;
* застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передавання даних, впровадження програмних закладок та використання спеціальних інструментальних та технологічних програм).
За часом дії:
* у процесі функціонування (під час роботи компонент системи);
* у період неактивності системи (у неробочий час, під час планових перерв у її роботі, перерв для обслуговування та ремонтів і т.д.);
* як у процесі функціонування, так і в період неактивності компонент системи.
За місцем дії:
* без доступу на контрольовану територію організації;
* з контрольованої території без доступу до будівель та споруджень;
* у середині приміщень, але без доступу до технічних засобів;
* з робочих місць кінцевих користувачів (операторів);
* з доступом у зону даних (баз даних, архівів і т.д.);
* з доступом у зону управління засобами забезпечення безпеки.
Враховуються також наступні обмеження і припущення про характер дій можливих порушників:
· робота з підбору кадрів і спеціальні заходи утрудняють можливість створення коаліцій порушників, тобто об'єднання (змови ) і цілеспрямованих дій по подоланню системи захисту двох і більш порушників;
· порушник, плануючи спробу НСД, приховує свої несанкціоновані дії від інших співробітників;
· НСД може бути наслідком помилок користувачів, адміністраторів, що експлуатують та обслуговують персонал, а також хиб прийнятої технології обробки інформації і т.д.
Визначення конкретних значень характеристик можливих порушників у значній мірі є суб'єктивним. Модель порушника, що збудована з урахуванням особливостей конкретної предметної області і технології обробки інформації, може бути подана перечисленням декількох варіантів його образу. Кожний вид порушника має бути характеризований значеннями характеристик, приведених вище. Всі значення характеристик мають бути оцінені (наприклад за 5-ти бальною системою) і зведені до відповідних форм.
Однак при формуванні моделі порушника на її виході обов'язково повинні бути визначена: імовірність реалізації загрози, своєчасність виявлення і відомості про порушення.
Слід звернути увагу на те, що всі злочини, зокрема і комп’ютрені, здійснюються людиною. Користувачі АС є її складовою частиною, необхідним елементом. З іншого ж боку вони є основною причиною і рухаючою силою порушень і злочинів. Отже, питання безпеки захищених АС фактично є питанням людських відносин та людської поведінки.
Контрольні запитання
1. Які класи загроз розрізняються з погляду їх впливу на інформацію?
2. Що таке дестабілізуючий фактор?
3. Подайте класифікацію дестабілізуючих факторів за типами.
4. Подайте класифікацію дестабілізуючих факторів за джерелами.
5. Хто такий порушник?
6. Що таке модель порушника?
Дата добавления: 2015-12-22; просмотров: 3396;