Внутренним нарушителем может быть лицо из следующих категорий персонала организации:
- зарегистрированные конечные пользователи АРМ (сотрудники организации);
- сотрудники организации, не допущенные к работе с АРМ;
- персонал, обслуживающий технические средства АРМ;
- технический персонал, обслуживающий здание и помещение, в котором расположен АРМ;
- администраторы безопасности АРМ;
- руководители различных уровней.
Категории лиц, которые могут быть внешними нарушителями:
- уволенные сотрудники организации;
- посетители, являющиеся представителями сторонних организаций, выполняющих какие-либо работы.
При построении системы защиты, планировании работ и мероприятий важно учитывать следующие общие положения:
- нарушитель хорошо осведомлен о средствах обработки информации и технических средствах защиты от НСД, старается обойти систему защиты и скрыть свои действия от системы аудита и средств оперативного реагирования;
- нарушителю заранее неизвестны значения настраиваемых параметров средств защиты, пароли, ключи, идентификаторы, но он обладает адекватными финансовыми средствами для подкупа, шантажа или приобретения специального оборудования;
- сотрудники службы безопасности АРМ и другие осведомленные лица могут осуществлять непреднамеренный НСД (случайный) в результате ошибок, невнимательности, а также из-за недостатков принятой технологии;
- в результате правильно построенной системы подбора кадров и специальных мероприятий исключается коалиция нарушителей или вероятность коалиции пренебрежимо мала;
- НСД осуществляется только штатными средствами АРМ.
С учетом особенностей построения АРМ можно выделить следующие виды нарушителей:
- группа О класс В1;
- группа И всех основных классов нарушителя.
Модель угроз.
2.3.1. Основные угрозы сохранности данных АРМ.
Основная задача безопасности АРМ – обеспечение сохранности хранимых данных, а именно:
- обеспечение секретности данных;
- обеспечение надежного хранения данных;
- предотвращение НСД к данным.
В соответствии с данными задачами к основным видам угроз сохранности данных АРМ можно отнести:
- нарушение секретности информации;
- нарушение целостности информации, а также фальсификация данных;
- уничтожение информации;
- несанкционированное изменение алгоритмов функционирования АРМ;
- несанкционированное изменение параметров АРМ;
- несанкционированное использование ресурсов АРМ;
- отказ в обслуживании, блокировка санкционированного доступа к данным.
В результате нарушения секретности информации нарушителям становится известны данные, имеющие гриф ограниченного доступа, что может повлечь за собой большие экономические последствия.
В результате нарушения целостности и достоверности информации пользователям АРМ придется отказаться от данных и приложить дополнительные усилия для восстановления данных. В случае, если нарушение достоверности не было выявлено, то появляются риски принятия пользователями АРМ неверных решений на основе некорректных данных.
В результате несанкционированного изменения алгоритмов функционирования АРМ он, при сохранении внешних признаков корректной работы, не сможет осуществлять решение своих основных задач, что может привести в дальнейшем к увеличению рисков НСД или к необходимости выделения дополнительных ресурсов для исправления изменений.
В результате несанкционированного изменения параметров АРМ увеличиваются риски НСД к информации.
Несанкционированное использование ресурсов АРМ, с одной стороны, является средством раскрытия или компрометации информации, а с другой – имеет самостоятельное значение, поскольку может нанести ущерб пользователям АРМ. Этот ущерб может варьироваться в широких пределах – от задержек при обработке информации до выхода из строя АРМ. Необходимо отметить, что ошибочное использование ресурсов АРМ, будучи даже санкционированным, тем не менее, может привести к раскрытию, искажению или разрушению данных.
В результате отказа в обслуживании становятся возможными срывы своевременного решения задач, стоящих перед АРМ, в связи с нарушением в нем технологических процессов обработки информации.
Классификация угроз.
Все угрозы можно разделить на классы в зависимости от характера угрозы, вида воздействия, источника и объекта угрозы.
Технологические
Данный класс угроз относится к используемому в АРМ аппаратному и программному обеспечению.
Физические
Физические угрозы относятся ко всем техническим средствам, использующимся в работе АРМ. Физические угрозы применяются только к материальным ресурсам АРМ и лишь косвенно ведут к угрозам сохранности данных АРМ. В результате нарушения режима работы технических средств или полному выводу их из строя может произойти отказ в обслуживании, а также повышается вероятность НСД к данным АРМ ограниченного доступа и искажение или потеря данных АРМ.
Физические угрозы подразделяются на:
Форс-мажорные обстоятельства
Угрозы возникновения обстоятельств непреодолимой силы – событий, на которые владельцы и пользователи АРМ не могут оказать влияния и за возникновение которых они не несут ответственности, например: наводнение, пожар, землетрясение, а также забастовка, правительственные постановления или распоряжения государственных органов.
Угрозы:
- Стихийные бедствия, пожары, радиоактивное излучение.
Отказ оборудования
Угрозы поломок или частичного выхода из строя технических средств АРМ.
Угрозы:
- Отказы и сбои аппаратно-программных средств.
- Отказ и сбои средств хранения информации.
Человеческий фактор
Непреднамеренные или умышленные действия пользователей АРМ, в результате которых происходит поломка технических средств АРМ или изменение параметров, алгоритмов функционирования АРМ. Прямое воздействие внешнего злоумышленника на технические средства АРМ не рассматривается с учетом его расположения на охраняемой территории.
Также к человеческому фактору относятся действия злоумышленника, направленные на воздействие на технические средства АРМ с целью перехвата обрабатываемой информации ограниченного доступа.
Перехват может быть осуществлен за счет приема и анализа:
- излучений техническими средствами АРМ электрических, магнитных и электромагнитных полей опасных сигналов;
- излучений электрических, магнитных и электромагнитных полей опасных сигналов за счет паразитной генерации технических средств АРМ;
- наводок опасных сигналов на линии связи, отходящие от технических средств АРМ, на посторонние линии связи и другие токопроводящие коммуникации, проложенные вблизи технических средств АРМ;
- наводок опасных сигналов на провода сети электропитания и заземления технических средств АРМ;
- излучений технических средств АРМ, модулированных речевым сигналом за счет электроакустических и виброэлектрических преобразований на элементах технических средств АРМ, с учетом того, что технические средства АРМ размещены в помещении, где в процессе работы осуществляется проведение секретных переговоров;
- информации по акустическому и виброакустическому каналу, с учетом того, что технические средства АРМ размещены в помещении, где в процессе работы осуществляется проведение секретных переговоров.
Съем информации ограниченного доступа также может вестись с использованием электронных закладок, сделанных как на этапе монтажа АРМ, так и при обслуживании технических средств АРМ и помещения, где установлены технические средства АРМ.
Угрозы:
- Побочные электромагнитные излучения и наводки.
- Утечка по акустическому, виброакустическому и электроакустическому каналам.
- Ошибки в аппаратном обеспечении.
- Непреднамеренные действия пользователей при обращении с техническими средствами.
- Закладки в аппаратном обеспечении.
- Преднамеренные действия пользователей при обращении с техническими средствами.
- Непреднамеренные действия сотрудников, направленные на технические средства.
- Преднамеренные действия сотрудников, направленные на технические средства.
Логические
Логические угрозы относятся к программному обеспечению, использующемуся в АРМ. К программному обеспечению относятся:
- операционная система;
- программные средства защиты от НСД;
- специальное программное обеспечение для обработки и хранения информации ограниченного доступа.
Человеческий фактор
Выделяются непреднамеренные или умышленные действия пользователей АРМ. Действия внешнего злоумышленника не рассматриваются с учетом расположения АРМ на охраняемой территории.
Непреднамеренные действия пользователя АРМ в операционной системе могут повлечь повреждение программных средств и искажение или потерю информации ограниченного доступа.
Умышленные действия пользователей АРМ могут быть направлены на повышение своих полномочий и попытку НСД к информации. Для этого могут быть использованы специальные программные средства, которые могут реализовывать следующие функции:
- копирование информации во время штатных режимов ее обработки или передачи;
- копирование программного обеспечения во время штатных режимов его функционирования;
- считывание информации с внешних носителей;
- сбор остаточной информации из ОЗУ, буферов устройств или с внешних носителей;
- выполнение нештатных функций по обработке информации, в частности ее размножение и несанкционированную запись на внешние носители информации;
- выполнение нештатных изменений конфигурационных параметров программного обеспечения;
- внедрение программных средств скрытого информационного воздействия и компьютерных вирусов.
Угрозы:
- Ошибки в программном обеспечении.
- Непреднамеренные действия пользователей при работе с программным обеспечением.
- Закладки в программном обеспечении, внедрение вирусов.
- Преднамеренные действия пользователей при работе с программным обеспечением.
Организационные
Данный класс угроз относится к организации работы с АРМ и затрагивает регламенты сбора, обработки, хранения и использования информации ограниченного доступа.
Весь персонал подразделяется на пользователей АРМ и персонал, не допущенный к работе с АРМ.
Действия персонала могут быть направлены на получение информации и на осуществление сбоя работы АРМ.
В зависимости от вида воздействия подразделяются угрозы действия персонала и угроза воздействия на персонал внутренними или внешними злоумышленниками.
Действия персонала
Действия персонала, как допущенного, так и не допущенного к работе с АРМ, подразделяются на умышленные и неумышленные действия и могут быть выполнены в результате:
- отсутствие четкого описания разрешенных и запрещенных действий с техническими и программными средствами АРМ;
- отсутствие механизмов организационного контроля выполняемых действий;
- отсутствия механизмов положительной и отрицательной мотиваций персонала.
Умышленные действия
Умышленные действия направлены на получение несанкционированного доступа к информации или нарушение режима работы АРМ и становятся возможны при недостаточной реализации системы организационного контроля за действиями персонала.
Угрозы:
- Преднамеренные действия персонала на получение НСД.
Неумышленные действия
Угрозы безопасности возникают при недостаточной квалифицированности пользователей АРМ и незнании основных организационных особенностей функционирования АРМ.
Угрозы:
- Ошибочные действия персонала, в результате которых происходит НСД.
Воздействие на персонал
Воздействие на персонал может вестись как сотрудниками, так и внешними злоумышленниками и проводится для вынуждения персонала на осуществление санкционированного или несанкционированного доступа к АРМ с целью хищения информации или внесения перерывов в работу АРМ.
Физическое воздействие
К физическому воздействию относятся меры физического насилия.
Угрозы:
- Раскрытие информации ограниченного доступа пользователями в результате физического насилия.
Психологическое воздействие
К психологическому воздействию относятся шантаж, гипноз, подкуп персонала с целью принуждения к выполнению определенных действий.
Также под психологическим воздействием предполагается возможность давления на персонал с использованием служебных полномочий.
Угрозы:
- Раскрытие информации ограниченного доступа пользователями в результате психологического давления.
- Внесение изменений в АРМ под действием психологического давления (в том числе с использованием должностных полномочий).