Методика проведения специального эксперимента основывается на определенных результатах, полученных в процессе построения модели системы защиты информации. При подготовке к эксперименту учитывается специфика защищаемого информационного ресурса, множество существующих угроз и их потенциал, существующая модель источников угроз [14].
Поскольку основными направлениями обеспечения безопасности информации являются сохранение ее конфиденциальности, целостности и доступности, то специальный эксперимент предполагает искусственное воздействие именно на те составляющие системы защиты, которые используются в данных направлениях.
В частности, одним из направлений анализа надежности системы защиты информации в вычислительной системе организации, с применением методов специального эксперимента, является оценка устойчивости системы к несанкционированным действиям зарегистрированного пользователя, описанная в [8].
В настоящее время нередко можно услышать о низкой эффективности достаточно сложных, надежных и качественных средств защиты информации. Причина проста – человеческий фактор. Какова бы не была сложность и надежность системы защиты, человек своими действиями может свести ее на нет.
Всякая нормально функционирующая и правильно настроенная система защиты теоретически должна отрабатывать любые попытки вторжения на «охраняемую территорию» - попытки доступа к защищаемому информационному ресурсу. Если доступ субъекту или процессу разрешен соответствующими правами, то он его получает. Если доступ запрещен, то действия субъекта (процесса) блокируются, и отмечается факт несанкционированного доступа.
В реальности, на работу системы защиты всегда будет оказывать влияние человеческий фактор. И если несанкционированным воздействиям извне система, как правило, успешно противостоит, то перед воздействиями допущенных пользователей система может быть совершенно беззащитна. Причины этого могут быть как объективного, так и субъективного характера. Человеку свойственно ошибаться. Ошибки возможны как при создании системы защиты, так и при ее настройке, и контроле функционирования. Плюс к этому, администратор всегда может иметь субъективные симпатии и антипатии к определенным пользователям системы. Кроме того, в настоящее время встает вопрос о контроле действий самого администратора – задача практически не решаемая средствами современных операционных систем. То есть, администратор сегодня – человек с неограниченными в системе правами, и полным отсутствием контроля со стороны. Не надо быть сильным аналитиком, чтобы понять, к каким последствиям данная ситуация может привести.
Помимо администратора, опасность могут представлять и рядовые пользователи защищаемой системы. При выдаче им прав на определенные действия с защищаемыми ресурсами, одновременно, на них налагаются определенные обязанности, как правило отраженные в соответствующих инструкциях. Правда жизни такова, что положения инструкций исполняются далеко не всегда. Нарушения инструкций по защите информации можно подразделить на два основных вида:
- выполнение запрещенных действий;
- не выполнение положенных действий.
Эти нарушения могут происходить как умышленно, так и неумышленно, о чем уже упоминалось ранее.
Как правило, современные системы защиты, при правильной настройке политики безопасности, способны прореагировать на выполнение пользователем большинства запрещенных действий, но заставить пользователя выполнять требования инструкции, с помощью штатных средств информационной системы (или системы защиты) достаточно сложно (например: закрыть сессию по окончании сеанса работы, или проверить на наличие «вирусов» принесенную извне дискету). Для этого необходимы дополнительные системы контроля и алгоритмы взаимодействия, что усложняет и удорожает систему защиты.
В зависимости от технического и интеллектуального потенциала пользователя, а так же от его личной заинтересованности, виды и количество воздействий (действие или бездействие) на систему защиты информации могут различаться.
Пользователей, санкционировано допущенных в систему, можно условно разделить на следующие группы (согласно описанию источников угроз):
a) Злоумышленник, целенаправленно воздействующий на систему защиты с целью выполнения каких-либо деструктивных действий с защищаемым ресурсом.
В этом случае каждая попытка может оказаться опасной для защищаемого ресурса. Такой тип пользователя учитывается в моделях безопасности, и отражается в политике безопасности.
b) Подготовленный пользователь, желающий расширить свои возможности в системе, где он работает, либо халатно относящийся к требованиям политики безопасности, считающий их завышенными, а потому – необязательными к исполнению. При этом, каких-то деструктивных действий по отношению к защищаемым ресурсам, как правило, не планируется, но производится ослабление самой системы защиты (неявное нарушение политики безопасности).
c) Не подготовленный пользователь, нарушающий требования политики безопасности по незнанию. В этом случае так же происходит неявное нарушение политики безопасности.
При этом, возникает ситуация, опасная для защищаемого ресурса. Как правило, единичные случаи подобных нарушений могут не обратить на себя внимания злоумышленника, но с дальнейшим ростом количества нарушений, вероятность использования их злоумышленником повышается. Так же, повышается вероятность реализации неумышленных угроз под воздействием техногенных или природных факторов. То есть, можно говорить о некоем пороговом количестве нарушений политики безопасности, которые система защиты не смогла блокировать. При превышении этого порога вероятность реализации угрозы информации становится близкой к единице, и угроза переходит в разряд реальных. Наступит или нет момент реализации угрозы зависит окружающей обстановки вокруг объекта защиты, то есть, от составляющих компонентов «модели источников угроз», рассмотренной нами ранее.
Из рассмотренной ситуации можно сделать вывод о взаимосвязи безопасности объекта защиты, действий легальных пользователей, не являющихся злоумышленниками, и модели источников угроз. Таким образом, мы получаем еще одну комплексную составляющую, которую необходимо учитывать при построении и эксплуатации системы защиты информации.
Для проведения анализа защищенности системы с точки зрения компенсации действий пользователя, необходимо провести серию специальных экспериментов. Для этого необходимо:
1. Составить перечень проверяемых возможных действий пользователя.
2. Проанализировать и подготовить соответствующие условия, наиболее способствующие возможным нарушениям политики безопасности.
3. Подготовленным специалистам провести соответствующее воздействие на защищаемую информационную систему.
4. Проанализировать результат.
Будем считать действия пользователя, не являющимися явно деструктивными по отношению к защищаемому ресурсу, но направленными на нарушение политики безопасности, если они произошли по следующим причинам: вследствие слабой подготовки пользователя, его халатности, или умышленного нарушения им инструкций (любопытство, самоутверждение, получение дополнительных возможностей внутри защищенной системы, и т.п.). Их можно условно разделить на следующие типы:
Умышленные:
- подключение внешних или внутренних технических средств;
- отключение внешних или внутренних технических средств;
- использование внутренних возможностей операционной системы и ошибок администрирования;
- использование дополнительного программного обеспечения;
- игнорирование требований инструкций, либо упрощение алгоритмов требуемых действий.
Неумышленные:
1. невыполнение предписываемых действий, или выполнение запрещенных действий, вследствие низкого уровня подготовки;
2. случайное получение дополнительных прав по отношению к защищаемому ресурсу вследствие ошибок администрирования.
Система защиты должна быть в состоянии обнаружить эти действия или бездействие (поступки) пользователя, соответственно – блокировать или инициировать их, или провести мероприятия по восстановлению защищенности объекта.
Анализ рассмотренной методики показывает, что специальный эксперимент предоставляет универсальную возможность изучения всех составляющих системы защиты информации. Поскольку защита информации, как правило, является составной частью эффективности функционирования любой полноценной информационной системы, то специальный эксперимент оказывает непосредственное влияние на успешное функционирование таких систем.
Необходимо отметить, что в настоящее время существует достаточно обширный перечень программных и программно-аппаратных средств, в той или иной мере реализующие метод специального эксперимента, например – средства активного аудита, рассмотренные в следующих главах.
* * *
Рассмотренная методика создания системы защиты информации в организации, является основой для дальнейшего, более детального изучения методов защиты, применяемых в организациях для реализации политики информационной безопасности.
Итогом применения рассмотренной методики должен стать комплекс организационно-технических мероприятий, реализующих требуемый уровень защиты информационного ресурса организации.
ПРИЛОЖЕНИЕ
При создании системы защиты информации в организации, необходимо учитывать, в части касающейся, требования следующих руководящих документов:
– Закон РФ N 2446-I «О безопасности» (с изменениями) от 5 марта 1992 г.
– Федеральный закон «О государственной тайне» от 21 июля 1993 г.
– Федеральный закон «Об информации, информатизации и защите информации» от 25 января 1995 г.
– Федеральный закон N 85-ФЗ «Об участии в международном информационном обмене» (с изменениями) от 4 июля 1996 г.
– Доктрина информационной безопасности РФ от 09.09.2000 г.
– Федеральный закон N 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями) от 8 августа 2001 г.
– Федеральный закон N 1-ФЗ «Об электронной цифровой подписи» от 10 января 2002.
– Федеральный закон N 184-ФЗ «О техническом регулировании» (с изменениями) от 27 декабря 2002 г.
– Федеральный закон N 126-ФЗ «О связи» (с изменениями) от 7 июля 2003 г.
– ГОСТ Р ИСО/МЭК 15408-2002 – Руководящий документ Гостехкомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий», и ряд нормативных документов на его основе. (Введен в действие с 1 января 2004 года).
– Уголовный кодекс РФ.
– Кодекс РФ Об административных правонарушениях.
– Указы и постановления Президента и правительства РФ.
– Руководящие документы ФСТЭК РФ.
Федеральный закон от 7 июля 2003 г. N 126-ФЗ "О связи"
(с изм. и доп.)
Глава 11. Ответственность за нарушение законодательства Российской Федерации в области связи
Уголовный кодекс РФ от 13 июня 1996 г. N 63-ФЗ (УК РФ)
(с изм. и доп.)
Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации – наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
2. Те же деяния, совершенные лицом с использованием своего служебного положения – наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений
1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан – наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года.
2. То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации – наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от двух до четырех месяцев.
3. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации – наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо ограничением свободы на срок до трех лет, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 140. Отказ в предоставлении гражданину информации.
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан – наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.
Статья 146. Нарушение авторских и смежных прав.
1. Присвоение авторства (плагиат), если это деяние причинило крупный ущерб автору или иному правообладателю – наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от трех до шести месяцев.
2. Незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере – наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо лишением свободы на срок до двух лет.
3. Деяния, предусмотренные частью второй настоящей статьи, если они совершены:
а) утратил силу
б) группой лиц по предварительному сговору или организованной группой;
в) в особо крупном размере;
г) лицом с использованием своего служебного положения – наказываются лишением свободы на срок до пяти лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового.
Примечание. Деяния, предусмотренные настоящей статьей, признаются совершенными в крупном размере, если стоимость экземпляров произведений или фонограмм либо стоимость прав на использование объектов авторского права и смежных прав превышают пятьдесят тысяч рублей, а в особо крупном размере – двести пятьдесят тысяч рублей.
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом – наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев либо лишением свободы на срок до двух лет.
2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе – наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до трех лет.
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности – наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до пяти лет.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия – наказываются лишением свободы на срок до десяти лет.
Статья 272. Неправомерный доступ к компьютерной информации.
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети – наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети – наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных
программ для ЭВМ.
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами – наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия – наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред – наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия – наказывается лишением свободы на срок до четырех лет.
Статья 275. Государственная измена.
Государственная измена, то есть шпионаж, выдача государственной тайны либо иное оказание помощи иностранному государству, иностранной организации или их представителям в проведении враждебной деятельности в ущерб внешней безопасности Российской Федерации, совершенная гражданином Российской Федерации – наказывается лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового.
Примечание. Лицо, совершившее преступления, предусмотренные настоящей статьей, а также статьями 276 и 278 настоящего Кодекса, освобождается от уголовной ответственности, если оно добровольным и своевременным сообщением органам власти или иным образом способствовало предотвращению дальнейшего ущерба интересам Российской Федерации и если в его действиях не содержится иного состава преступления.
Статья 276. Шпионаж.
Передача, а равно собирание, похищение или хранение в целях передачи иностранному государству, иностранной организации или их представителям сведений, составляющих государственную тайну, а также передача или собирание по заданию иностранной разведки иных сведений для использования их в ущерб внешней безопасности Российской Федерации, если эти деяния совершены иностранным гражданином или лицом без гражданства – наказываются лишением свободы на срок от десяти до двадцати лет.
Статья 283. Разглашение государственной тайны.
1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены – наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
2. То же деяние, повлекшее по неосторожности тяжкие последствия – наказывается лишением свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 284. Утрата документов, содержащих государственную тайну.
Нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами, а равно с предметами, сведения о которых составляют государственную тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий – наказывается ограничением свободы на срок до трех лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ (КоАП РФ) (с изм. и доп.)