Предпосылки появления угроз.

Существует две возможные разновидности предпосылок: объективные (количественная или качественная недостаточность элементов системы) и субъективные (деятельность разведорганов иностранных государств, промышленный шпионаж, деятельность уголовных элементов, действия недобросовестных сотрудников системы).

Перечисленные разновидности предпосылок интерпретируются следующим образом:

количественная недостаточность – физическая нехватка одного или нескольких элементов системы, вызывающая нарушения технологического процесса обработки данных и/или перегрузку имеющихся элементов;

качественная недостаточность – несовершенство конструкции (организации) элементов системы, в силу чего могут появляться возможности случайного или преднамеренного негативного воздействия на обрабатываемую или хранимую информацию;

деятельность разведорганов иностранных государств – специально организуемая деятельность государственных органов, профессионально ориентированных на добывание необходимой информации всеми доступными способами и средствами.

К основным видам разведки относятся агентурная (несанкционированная деятельность профессиональных разведчиков, завербованных агентов и так называемых «доброжелателей», «инициативников») и техническая, включающая радиоразведку (перехват радиоэлектронными средствами информации, циркулирующей в телекоммуникационных каналах), радиотехническую разведку (регистрацию спецсредствами электромагнитных излучений технических систем) и космическую разведку (использование космических кораблей и искусственных спутников Земли для наблюдения за территорией, ее фотографирования, регистрации радиосигналов и получения полезной информации любыми другими доступными способами);

промышленный шпионаж – негласная деятельность организации (ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или хищения, с целью создания для себя благоприятных условий и получения максимальных выгод (недобросовестная конкуренция);

злоумышленные действия уголовных элементов – хищение информации или компьютерных программ в целях наживы;

действия недобросовестных сотрудников – хищение (копирование) или уничтожение информационных массивов и/или программ по эгоистическим или корыстным мотивам, а также в результате несоблюдения установленного порядка работы с информацией.

Источники угроз.

Под источником угроз понимается непосредственный ее генератор или носитель.

Таким источником могут быть люди, технические средства, модели (алгоритмы), программы, внешняя среда.

Модели угроз и нарушителей ИБ для организации БС РФ рассматриваются в стандарте СТО БР ИББС 0.1-2006 (Раздел 7). Встандарте выделено следующее.

Модели угроз и нарушителей должны быть основным инструментом менеджмента организации при развертывании, поддержании и совершенствовании системы обеспечения ИБ организации.

Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:

- физического (линии связи, аппаратные средства и пр.);

- сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);

- сетевых приложений и сервисов;

- операционных систем (ОС);

- систем управления базами данных (СУБД);

- банковских технологических процессов и приложений;

- бизнес-процессов организации.

На каждом из уровней угрозы и их источники (в т.ч. злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными.

Главной целью злоумышленника является получение контроля над активами на уровне бизнес-процессов. Прямое нападение на уровне бизнес-процессов, например, путем раскрытия конфиденциальной банковской аналитической информации, более эффективно для злоумышленника и опаснее для собственника, чем нападение, осуществляемое через нижние уровни, требующее специфических опыта, знаний и ресурсов (в т.ч. временных) и поэтому менее эффективное по соотношению «затраты/получаемый результат».

Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.

Наиболее актуальные источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:

- внешние источники угроз: лица, распространяющие вирусы и другие вредоносные программы, хакеры, фрикеры; и иные лица, осуществляющие несанкционированный доступ (НСД);

- внутренние источники угроз, реализующие угрозы в рамках своихполномочий и за их пределами (персонал, имеющий права доступа к аппаратному оборудованию, в том числе сетевому, администраторы сетевых приложений и т.п.);

- комбинированные источники угроз: внешние и внутренние, действующие совместно и/или согласованно.

Наиболее актуальные источники у гроз на уровнях операционных

систем, систем управления базами данных, банковских технологических п роцессов:

- внутренние, реализующие угрозы в рамках своих полномочий и за их пределами (администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.);

- комбинированные источники угроз: внешние и внутренние, действующие в сговоре.

Наиболее актуальные источники угроз на уровне бизнес-процессов:

- внутренние источники, реализующие угрозы в рамках своих полномочий и за их пределами (авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.);

- комбинированные источники угроз: внешние (например, конкуренты) и внутренние, действующие в сговоре.

Также необходимо учитывать угрозы, связанные с природными и техногенными катастрофами и террористической деятельностью.

Источники угроз для реализации угрозы используют уязвимости объектов и системы защиты.

Хорошей практикой является разработка моделей угроз и нарушителей ИБ для данной организации.

Модель угроз ИБ включает описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери (например, конфиденциальности, целостности, доступности активов), масштабов потенциального ущерба.

Для источников угроз – людей – может быть разработана модель нарушителя ИБ, включающая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.

Степень детализации параметров моделей угроз и нарушителей ИБ может быть различна и определяется реальными потребностями для каждой организации в отдельности.

В руководящем документе Гостехкомиссии России [РД. Концепция защиты средств вычислительной техники в АС от НСД к информации, 1992] введено понятие модели нарушителя в автоматизированной системе обработки данных. В качестве такового рассматривается субъект, имеющий доступ к работе со штатными средствами АС. При этом в зависимости от возможностей, предоставляемых нарушителям штатными средствами, угрозы делятся на четыре уровня:

самый низкий – возможности запуска задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции обработки информации;

промежуточный 1 – дополнительно к предыдущему имеются возможности создания и запуска собственных программ с новыми функциями обработки информации;

промежуточный 2 – дополнительно к предыдущему предполагается наличие возможностей управления функционированием АС, т.е. воздействия на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования;

самый высокий – определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав системы собственных технических средств с новыми функциями обработки информации (в этом случае предполагается, что нарушитель является специалистом высшей квалификации, знает все об АС, в том числе и об используемых средствах защиты информации).

Согласно [СТР-К] различают 4 уровня возможностей внутреннего нарушителя, которые увеличиваются от уровня к уровню.

первый уровень – возможность запуска программ из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации (пользователь АРМ, пользователь сети);

второй уровень – возможность создания и запуска собственных программ с новыми функциями по обработке информации (прикладной программист, разработчик программного обеспечения);

третий уровень – возможность получения управления функционированием системы, а также воздействия на базовое программное обеспечение, состав и конфигурацию оборудования (системный программист, администратор сервера (ЛВС), администратор информационной системы (базы данных), разработчик);

четвертый уровень – определяется возможностью проектирования, установки и ремонта средств электронно-вычислительной техники, вплоть до включения в их состав собственных технических и программных средств с новыми функциями по обработке информации (администратор информационной системы, администратор сервера (ЛВС), администратор безопасности информации, разработчик системы, разработчик средств защиты информации, обслуживающий АС персонал).

Таблица 1. Основные методы реализации угроз информационной безопасности

Уровень доступа к информации в AC	Угроза раскрытия параметров системы	Угроза нарушения конфиденциальности	Угроза нарушений целостности	Угроза отказа служб (отказа доступа к информации)
Уровень носителей информации	Определение типа и пара- метров носителей информации	Хищение (копирование) носителей информации. Перехват ПЭМИН	Уничтожение машинных носителей информации	Выведение из строя машинных носителей информации
Уровень средств взаимодействия с носителем	Получение информации о программно- аппаратной среде. Получение детальной информации о функциях, выполняемых AC Получение данных о применяемых системах защиты	Несанкционированный доступ к ресурсам AC Совершение пользователем несанкционированных действий. Несанкционированное копирование программного обеспечения. Перехват данных, передаваемых по каналам связи	Внесение пользователем несанкционированных изменений в программы и данные. Установка и использование   Нештатного программного обеспечения. Заражение программными вирусами	Проявление ошибок проектирования и разработки программно- аппаратных компонент AC Обход механизмов защиты AC
Уровень представления информации	Определение способа представления информации	Визуальное наблюдение. Раскрытие представления информации (дешифрование)	Внесение искажения в представление данных; уничтожение данных языка	Искажение соответствия синтаксических и семантических конструкций
Уровень содержания информации	Определение содержания данных на качественном уровне	Раскрытие содержания информации	Внедрение дезинформации	Запрет на использование информации