Лучше быть бедным и честным, чем богатым и злым. © Мудрый царь Соломон 954 - | 788 - или читать все...
Обратная связь Пожаловаться на материал

Классификация угроз.


⇐ ПредыдущаяСтр 7 из 9Следующая ⇒

1. По источнику воздействия:

- внешние;

- внутренние.

Внешние угрозы в свою очередь подразделяются на случайные (со стороны природной среды) и целенаправленные (со стороны противников). Внутренние угрозы также могут быть случайными и целенаправленными (персонал). Случайные внутренние угрозы подразделяются на ошибки персонала, аппаратные отказы и сбои, программные отказы.

2. По результату воздействия:

- нарушение целостности;

- нарушение доступности;

- нарушение конфиденциальности.

3. По условию начала осуществления воздействия:

- атака по запросу от атакуемого объекта;

- атака по наступлению ожидаемого события;

- безусловная атака.

4. По величине принесенного ущерба:

- предельный, после которого фирма может стать банкротом;

- значительный, но не приводящий к банкротству;

- незначительный, который фирма за какое-то время может компенсировать.

5. По характеру несанкционированного доступа:

- непосредственный (подразделяется по уровням: внешней среды, уровень абонентов сети, уровень общих сетевых средств (локальная машина);

- опосредованный: съем электромагнитных излучений, кража (печатные и магнитные материальные носители), внутренне разрушение программных средств (объекты воздействия: внешние и внутренние каналы связи, удаленные терминалы, отдельные АРМы, системные и прикладные программные файлы и БД).

Классификация потенциальных нарушителей информационной безопасности.

Существуют следующие возможные типы нарушителей в системе:

1. «Неопытный пользователь» - сотрудник, зарегистрированный как пользователь системы, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам Корпоративных Информационных систем (КИС) с превышением своих полномочий, ввода некорректных данных. Его действия могут совершаться по ошибке, некомпетентности или халатности без злого умысла, при этом обычно используются только штатные (доступные сотруднику) аппаратные и программные средства.

2. «Любитель» - сотрудник, зарегистрированный как пользователь системы, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы. То есть данный тип нарушителя выполняет несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств. Он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства.

3. «Мошенник» - сотрудник, зарегистрированный как пользователь системы, который может предпринимать попытки выполнения незаконных вторжений в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого сотрудника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).

4. «Внешний нарушитель (злоумышленник)» - постороннее для организации лицо, действующее целенаправленно из корыстных интересов, мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети КИС. К категории внешних нарушителей могут относиться уволенные сотрудники, клиенты, поставщики, члены преступных организаций.

5. «Внутренний злоумышленник» - сотрудник, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести, возможно в сговоре с другими лицами. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и извне – из сетей общего пользования. К категории внутренних злоумышленников могут относится зарегистрированные пользователи КИС (сотрудники); сотрудники других организаций, допущенные к работе с КИС; технический персонал, обслуживающий здания; сотрудники службы безопасности.

Пользователи и обслуживающий персонал из числа сотрудников организации имеют наиболее широкие возможности по осуществлению несанкционированных действий, т.к. имеют доступ к ресурсам и хорошие знания технологии обработки информации и защитных мер в организации. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами.

Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа.

Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников организации всеми доступными силами и средствами.

Профессиональные хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в КИС. Наибольшую угрозу представляют при взаимодействии с работающими и уволенными сотрудниками организации и криминальными структурами.

Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры могут использовать эти организации с целью доступа к защищаемой информации в КИС.

Составление портрета нарушителя информационной безопасности (описать технологию, какие пункты должны быть описаны в портрете нарушителя).

Построение модели злоумышленника предполагает выполнение следующих действий:

1. Определение типа злоумышленника (конкурент, сотрудник компании, клиент и т.д.).

2. Определение положения злоумышленника по отношению к объектам защиты (внутренний, внешний).

3. Определение уровня знаний злоумышленника об объектах защиты и окружении (высокий, средний, низкий).

4. Определение уровня возможностей по доступу к объектам защиты (максимальные, средние, минимальные).

5. Определение времени совершения нарушения (постоянно, в определенные временные интервалы).

6. Определение наиболее вероятного местоположения злоумышленника во время реализации атаки.

Присвоив перечисленным параметрам модели злоумышленника качественные значения, можно определить потенциал злоумышленника, т.е. интегральную характеристику возможностей злоумышленника по реализации угроз.

Способы нарушений информационной безопасности и меры противодействия им (то есть каким образом угрозы могут реализоваться).

Под нарушением информационной безопасности понимается любой вид компрометации каких-либо аспектов безопасности систем и/или сетей, к их числу относятся:

ü потеря конфиденциальности информации;

ü нарушение целостности информации;

ü нарушение доступности информационных услуг;

ü неправомочное использование услуг, систем или информации;

ü повреждение систем.

Международные стандарты информационного права.

Существует 2 вида стандартов и спецификаций:

- оценочные стандарты для классификации ИС и средств защиты по требованиям безопасности;

- технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Оценочные стандарты играют роль архитектурных спецификаций. Технические спецификации определяют, как строить ИС предписанной архитектуры.

Доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа». Следует отметить, что «Оранжевая книга» рассматривает вопросы целостности и конфиденциальности, вопросы доступности не затрагиваются.

Степень доверия оценивается по двум основным критериям:

1. Политика безопасности – набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Чем выше степень доверия к системе, тем строже и многообразнее должна быть политика безопасности. Это активный аспект защиты, включающий анализ возможных угроз и выбор мер противодействия.

2. Уровень гарантированности – мера доверия, которая может быть оказана архитектуре и реализации ИС. Уровень гарантированности показывает, насколько корректны механизмы реализации политики безопасности. Это пассивный аспект защиты.

Монитор обращений должен обладать тремя качествами:

1. Изолированность (возможность отслеживания работы монитора).

2. Полнота (должен вызываться при каждом обращении, не должно быть способов обойти его)

3. Верифицируемость (должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования).

Произвольное управление доступом – это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность состоит в том, что лицо (обычно владелец объекта) может предоставлять (или отбирать) другим субъектам права доступа к объекту.

Безопасность повторного использования объектов – дополнение к средствам управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора». Должна гарантироваться для областей оперативной памяти (буферов с образами экрана, расшифрованными паролями и т.п.), дисковых блоков и магнитных носителей в целом.

Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта – степень конфиденциальности содержащейся в нем информации. Метки состоят из двух частей - уровня секретности и списка категорий. Назначение списка категорий - описать предметную область, к которой относятся данные.

Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект получает полный доступ к объекту, только если их метки совпадают. Субъект получает доступ только на чтение, если его метка имеет больший уровень привилегий, чем метка объекта. Субъект может записывать информацию в объект, если его метка безопасности меньше метки объекта. Описанный способ управления доступом называется принудительным, т.к. он не зависит от воли субъектов (даже системных администраторов). После того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа.

Выделяют следующие сервисы безопасности и исполняемые ими роли:

1) Аутентификация: обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных. Аутентификация партнеров по общению используется при установлении соединения и периодически во время сеанса. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).

2) Управление доступом: защита от несанкционированного использования ресурсов, доступных по сети.

3) Конфиденциальность данных: защита от несанкционированного получения информации.

4) Целостность данных: подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры – с установлением соединения или без, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.

5) Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки. Побочным продуктом неотказуемости является аутентификация источника.

«Общие критерии» содержат два основных вида требований безопасности:

- функциональные – активный аспект защиты.

Сгруппированы на основе выполняемой роли или обслуживаемой цели безопасности. Всего 11 функциональных классов (некоторые: идентификация и аутентификация; защита данных пользователя; управление безопасностью – атрибутами и параметрами безопасности; аудит безопасности; приватность – защита пользователя от раскрытия и несанкционированного использования его идентификационных данных; криптографическая поддержка).

- требования доверия – пассивный аспект.

Введено 10 классов требований доверия (некоторые: разработка, поддержка жизненных циклов (ЖЦ), тестирование, оценка уязвимостей, поставка и эксплуатация, управление конфигурацией, руководства – требования к документации и т.д.). Также в общих критериях (ОК) определяются 7 оценочных уровней доверия.

Профиль защиты представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (напр., ОС в правительственных организациях).

Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.

Недостатки ОК. Отсутствие объектного подхода (функциональные требования не сгруппированы в осмысленные наборы (объектные интерфейсы), к которым могло бы применяться наследование). Отсутствуют архитектурные требования.

Также в стандарте определяются требования, которым нужно следовать для обеспечения безопасности информации.

Виды защиты информации.

1. Правовая защита информации (нормативно-правовые акты и т.д.).

2. Организационная защита информации (документы, персонал, режим работы и т.д.).

3. Инженерно-техническая защита информации (от «жучков», утечки по каналам связи).

4. Программная.

5. Аппаратная.

6. Криптографическая.

7. Комплексная.

А. Правовая защита. К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования. Также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят, в основном, упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

Б. Организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно – правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

· организацию охраны, режима, работу с кадрами, с документами;

· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К организационным мероприятиям можно отнести:

· Организацию режима и охраны. Их цель – исключение возможности тайного проникновения на территорию и в помещение посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

· Организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

· Организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение.

· Организацию использования технических средств сбора, обработки накопления и хранения конфиденциальной информации.

· Организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер ее защиты.

· Организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения документов и технических носителей.

Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.

Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.

В. Инженерно-техническая защита – это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации

Г. Программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки, хранения, накопления и передачи, сбора данных.

Дата добавления: 2016-01-06; просмотров: 13; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая123456789Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.083)