Учебная цель:Рассмотреть категории и классы нарушителей режима обеспечения информационной безопасности, как основы определения адекватных требований обеспечения информационной безопасности предъявляемых при разработке системы защиты информации АИС.
1. Понятия нарушитель, злоумышленник.
2. Модель нарушителя.
3. Классификация нарушителей по уровню возможностей.
4. Неформальная модель нарушителя.
5. Основные мотивы нарушений.
6. Классификация нарушителей.
7. Технологическая модель нарушителя.
Нарушитель - лицо, предпринявшее попытки выполнения запрещенных операций по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и тд) и использующее для этого различные возможности, методы и средства.
Злоумышленник - нарушитель намеренно идущий на нарушение из корыстных побуждений.
Модель нарушителя — (в информатике) абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа. Модель нарушителя определяет:
· категории (типы) нарушителей, которые могут воздействовать на объект;
· цели, которые могут преследовать нарушители каждой категории, возможный количественный состав, используемые инструменты, принадлежности, оснащение, оружие и проч.;
· типовые сценарии возможных действий нарушителей, описывающие последовательность (алгоритм) действий групп и отдельных нарушителей, способы их действий на каждом этапе.
Модель нарушителей может иметь разную степень детализации.
Содержательная модель нарушителей отражает систему принятых руководством объекта, ведомства взглядов на контингент потенциальных нарушителей, причины и мотивацию их действий, преследуемые цели и общий характер действий в процессе подготовки и совершения акций воздействия.
Сценарии воздействия нарушителей определяют классифицированные типы совершаемых нарушителями акций с конкретизацией алгоритмов и этапов, а также способов действия на каждом этапе.
Математическая модель воздействия нарушителей представляет собой формализованное описание сценариев в виде логико-алгоритмической последовательности действий нарушителей, количественных значений, параметрически характеризующих результаты действий, и функциональных (аналитических, численных или алгоритмических) зависимостей, описывающих протекающие процессы взаимодействия нарушителей с элементами объекта и системы охраны. Именно этот вид модели используется для количественных оценок уязвимости объекта и эффективности охраны.
Под нарушителем в общем виде можно рассматривать лицо или группу лиц, которые в результате предумышленных или непредумышленных действий обеспечивает реализацию угроз информационной безопасности.
С точки зрения наличия права постоянного или разового доступа в контролируемую зону нарушители могут подразделяться на два типа:
· нарушители, не имеющие права доступа в контролируемую зону территории (помещения) — внешние нарушители;
· нарушители, имеющие право доступа в контролируемую зону территории (помещения) — внутренние нарушители.
Руководящим документом в качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ.
Нарушители в указанном РД классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ, подразделяются на четыре уровня.
Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС — запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
Третий уровень определяется возможностью управления функционированием АС, то есть воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования. Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
При этом в своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.
Неформальная модель нарушителя отражает его практические и теоретические возможное», априорные знании, времени и места действия и т.п. Дли достижении своих целей нарушитель должен приложить усилии, затратить определенные ресурсы. Исследовав причины нарушении, можно либо повлиять ни эти причины (если возможно), либо точнее определить требовании к системе защиты от данного вида нарушений или преступлений.
В каждом конкретном случае, исходи из конкретной технологии обработки информации, может быть определена модель нарушители, которая должна быть адекватна реальному нарушителю дли данной ИС.
При разработке модели нарушителя определяются:
· предположения о категории лиц, к которым может принадлежать нарушитель;
· предположения о мотивах (целях) нарушителя;
· предположения о квалификации нарушители и его технической оснащенности;
· ограничения и предположения о характере возможных действий нарушителей.
По отношению к ИС нарушители могут быть внутренними (из чиста персонала) или внешними (посторонние лица).
Внутренним нарушителем могут быть:
· пользователи (операторы) системы:
· персонал, обслуживающий технические средства (инженеры, техники):
· сотрудники отделов разработки и сопровождении ПО (прикладные и системные программисты);
· технический персонал, обслуживающий здание (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здании и помещении, где расположены компоненты ИС):
· сотрудники службы безопасности ИС;
· руководители различных уровней должностной иерархии.
Посторонние лица, которые могут быть нарушителями:
· клиенты; посетители; представители организаций, взаимодействующих по вопросам обеспечении жизнедеятельности организации (энерго-, водо-, теплоснабжении и т.п.);
· представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию:
· лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность ИС);
· любые лица за пределами контролируемой территории.
Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес.
При нарушениях, вызванных безответственностью. пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.
Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь — против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег.
Нарушение безопасности ИС может быть вызвано и корыстным интересам пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему зашиты для доступа к хранимой, передаваемой и обрабатываемой в ИС информации. Даже если ИС имеет средства, чрезвычайно усложняющие проникновение, полностью защитить ее от этого практически невозможно.
Классификация нарушителей.
Всех нарушителей можно классифицировать следующим образом.
По уровню знаний об ИС:
• знает функциональные особенности ИС, основные закономерности формировании в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами:
• обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
• обладает высоким уровнем знаний в области программировании и вычислительной техники, проектировании и эксплуатации автоматизированных информационных систем;
• знает структуру, функции и механизм действии средств зашиты, их сильные и слабые стороны.
По уровню возможностей (используемым методам и средствам):
• применяющий чисто агентурные методы получения сведений:
• применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);
• использующий только штатные средства и недостатки систем зашиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные машинные носители информации, которые могут быть скрытно пронесены через посты охраны;
• применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).
По времени действия:
• в процессе функционирования ИС (во время работы компонентов системы):
• в период пассивности компонентов системы (нерабочее время, плановые перерывы в работе, перерывы дли обслуживании и ремонта и т.п.);
• как в процессе функционировании ИС, гак и в период пассивности компонентов системы.
По месту действия:
• без доступа на контролируемую территорию организации;
• с контролируемой территории без доступа в здании и сооружении:
• внутри помещений, но без доступа к техническим средствам ИС;
• с рабочих мест конечных пользователей (операторов) ИС;
• с доступом в зону данных (баз данных, архивов и т.д.);
• с доступом в зону управлении средствами обеспечении безопасности ИС.
Необходимо учитывать следующие ограничении и предположении о характере действий возможных нарушителей:
• работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы зашиты двух и более нарушителей;
• нарушитель, планируй попытки НСД, скрывает свои несанкционированные действия от других сотрудников;
• НСД может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.
Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован приведенными выше признаками.
Термин «модель нарушителя» широко используется в деятельности, посвященной вопросам концептуального проектирования и оценки эффективности систем физической защиты (СФЗ) объектов. В этой статье мы начнем разговор о том, для чего и какие модели нарушителя нужны
Зачем нужны модели нарушителя
Необходимость использования моделей во многом определяется трудностями при натурных исследованиях сложных систем. Более того, для целого ряда систем такие испытания вообще не возможны. Это, в частности, относится к системам физической защиты (СФЗ), в процессе моделирования которых необходимо учитывать боестолкновения. Поэтому уже на протяжении многих лет исследования эффективности СФЗ осуществляются с использованием различных моделей, в том числе моделей нарушителя.
Для широкого круга объектов (назовем их объектами потенциального воздействия нарушителей - ОПВН) для обеспечения их физической защиты очень важна разработка перечня потенциальных угроз и, прежде всего, проектной угрозы. Только она позволяет адекватно спроектировать необходимую систему физической защиты конкретного объекта, а затем и предметно оценить ее эффективность. Составным элементом проектной угрозы является модель нарушителя (назовем ее проектной моделью нарушителя - ПМН), поэтому формирование данной модели - актуальная задача.
Однако в известных авторам отечественных и зарубежных методических и руководящих документах, касающихся анализа уязвимости объектов или оценки эффективности их СФЗ, четко не сформулированы ни цели, для которых создаются модели нарушителя, ни методики создания самих моделей. По этой причине при выполнении решения Правительства РФ, поставившего в 2005 г. задачу создания моделей нарушителей, исполнители задачи столкнулись с неурегулированностью вопроса, какую модель и для чего надо создавать.
Принцип множественности описания сложных систем предполагает, что система рассматривается с разных точек зрения, в различных целях, и она не может быть отображена одной какой-либо универсальной моделью. К примеру, для радиоэлектронного устройства могут быть построены следующие модели:
· как предмета, имеющего определенные геометрические размеры;
· как совокупности структурно связанных элементов;
· как функционала, осуществляющего определенные преобразования входного сигнала и т.д.
Первая модель может представлять собой пенопластовый параллелепипед, имеющий габариты реального радиоэлектронного устройства для выбора рационального варианта размещения оборудования, вторая - принципиальную схему радиоэлектронного устройства (чертеж), а третья - систему дифференциальных уравнений, описывающих последовательность и результат обработки и преобразования сигналов в радиоэлектронном устройстве.
Набор характеристик, описывающих данную модель, будет отличаться (зачастую значительно) от набора характеристик других моделей этой же системы. Именно вследствие того, что модели одной системы, созданные в различных целях, отличаются друг от друга, строить какую-либо общую модель системы, описывающую все (или очень многие) свойства, как правило, нецелесообразно. Это объясняется сложностью такой общей модели как при создании, так и при практическом использовании.
Поскольку нарушитель в определенном смысле также является системой, к тому же большей сложности и в настоящее время менее изученной, чем упомянутое радиоэлектронное устройство, то нецелесообразно создание какой-то общей (или обобщенной) модели нарушителя, одновременно учитывающей названные выше стабильные и изменяющиеся факторы. В настоящей статье используется понятие «набор моделей нарушителей», что позволяет менее болезненно и более адекватно решать ряд вопросов, возникающих в практике концептуального проектирования и оценки эффективности СФЗ. Опыт авторов по категорированию нескольких тысяч объектов, анализу уязвимости и оценке эффективности СФЗ нескольких сотен различных крупных ОПВН (в том числе и ядерно- и радиационно-опасных), в процессе которых формируется модель нарушителя, показал, что для выполнения практических задач целесообразно иметь три типа моделей нарушителя, условно называемых как технологическая, оперативная и проектная модели.
Технологическая модель нарушителя (ТМН) разрабатывается как набор характеристик потенциальных нарушителей, при которых эти нарушители будут способны реализовать соответствующие угрозы объекту. Другими словами, это то минимально необходимое количество нарушителей определенного типа и оснащенности, которое понадобится для реализации конкретной угрозы по определенному сценарию, исходя из особенностей функционирования (то есть технологии и оборудования) объекта. Цель создания этой модели - установить, какими минимальными силами, на каких предметах физической защиты могут быть реализованы угрозы и нанесены те или иные потери объекту, государству и обществу. Параметры данной модели диктуются особенностями объекта и технологических процессов на нем (и поэтому являются достаточно стабильными).
В силу своего содержания ТМН не учитывает политическую и социальную обстановку вокруг объекта, возможные побудительные мотивы проведения несанкционированных действий, деловые и личные качества персонала объекта и иные подобные факторы. Формирование ТМН осуществляется на основании анализа сценариев реализации угроз нарушителями. Данная модель является экспертно-аналитической. Задача аналитической части, как правило, заключается в определении предметов физической защиты и оценке последствий (потенциальных потерь) от реализации угрозы. Задача экспертной части - отбор сценариев реализации угроз, градация характеристик нарушителей и утверждение совокупности сценариев, которые учитываются при создании концепции модернизации СФЗ.
Упрощенная трактовка одного из элементов ТМН может быть представлена следующим образом: «Чтобы реализовать угрозу А по сценарию В необходимо участие не менее Х нарушителей типа С с такими-то характеристиками». При отсутствии официально утвержденной проектной угрозы для объекта ТМН может служить опорной точкой при обосновании состава и характеристик СФЗ.
Оперативная модель нарушителя (ОМН) разрабатывается как предполагаемый набор характеристик потенциальных нарушителей на текущий момент времени.
Параметры данной модели определяются особенностями окружающей среды (в широком смысле слова) - положением в мире, стране, регионе, районе расположения объекта, социальным климатом в коллективе предприятия, социопсихологическими особенностями отдельных групп людей, так или иначе влияющих на функционирование объекта и т.п. - и поэтому являются достаточно динамичными.
ОМН учитывает возможные мотивы проведения несанкционированных действий и личные качества персонала объекта, оценку сил ведомств, противодействующих терроризму и криминалу, и определяет характеристики потенциальных нарушителей, способных осуществить какие-либо противоправные действия на объекте на текущий момент времени. Фактически это оценка текущей оперативной обстановки в районе расположения объекта. Упрощенно: «Для свершения события А сегодня может быть сформирована группа численностью Y нарушителей с такими-то характеристиками». ОМН существенно более динамична, чем ТМН. Формирование ОМН - исключительно экспертная задача.
ОМН в значительной части должна быть результатом деятельности соответствующих компетентных органов (ФСБ, МВД и пр.).
Проектная модель нарушителя (ПМН) разрабатывается как набор характеристик потенциальных нарушителей, которым должна успешно противостоять СФЗ объекта. ПМН - это то максимальное количество нарушителей определенного качества, реализующих конкретную угрозу по определенному сценарию, действия которых, по мнению государства, должны быть успешно пресечены СФЗ объекта. Упрощенно: «СФЗ объекта должна быть способна пресечь действия нарушителей типа С численностью до Z человек с такими-то характеристиками, направленные на реализацию угрозы А». Отметим, что в методологическом плане ПМН и проектная угроза взаимосвязаны, но не идентичны: ПМН - один из элементов проектной угрозы (наряду с целями и сценариями реализации соответствующих угроз).
Основной целью формирования и утверждения ПМН является распределение усилий между государством (силовыми и другими ведомствами) и СФЗ объекта по пресечению несанкционированных действий нарушителей различных типов и оснащенности (то есть в конечном итоге -задание требований к СФЗ). Кроме того, ПМН используется при оценке эффективности СФЗ с целью проверки ее соответствия предъявляемым требованиям.
Поскольку параметры данной модели диктуются не только особенностями объекта и окружающей среды, но и взглядами государства на проблему противодействия противоправным действиям по отношению к ОПВН и его возможностями в этих вопросах, задача определения ПМН должна решаться не на объектовом, а на государственном уровне.
Задача формирования ПМН является исключительно экспертной. При этом экспертами предлагаются варианты ПМН для конкретных объектов, а должностными лицами государственных органов, уполномоченных принимать решения в рассматриваемой области, с позиции оправданного пессимизма производится утверждение моделей. По сути, формирование и утверждение ПМН для объектов - это задача распределения усилий между государством (и между силовыми и другими ведомствами государства) и СФЗ объекта по пресечению несанкционированных действий нарушителей различных типов и оснащенности.
Предложенные модели рассматривают нарушителя с разных точек зрения. Тем не менее данные модели связаны между собой, изучение этих связей - одна из задач анализа уязвимости. Если полученные характеристики ОМН ниже ПМН (например, численность диверсионно-террористической группы, которая, по мнению компетентных органов, может быть сформирована сегодня, меньше численности нарушителей данного вида, на пресечение действий которых спроектирована СФЗ в соответствии с предписанной объекту проектной угрозой, Z>У), то возможно принятие решения о достаточной защищенности объекта, то есть о том, что в данный момент нет необходимости в проведении каких-либо внеплановых действий (анализа уязвимости объекта с оценкой эффективности его СФЗ, совершенствования СФЗ, изменения технологии и пр.).
Если характеристики ОМН выше характеристик ПМН, но ниже характеристик ТМН (например, численность диверсионно-террористической группы меньше необходимой для реализации принятого сценария: Z<У, но У<Х), вероятно, могут быть приняты необходимые организационные меры (усиление охраны, ужесточение пропускного и внутриобъектового режима и т.п.). Скорее всего, эти меры будут касаться в большей степени не объекта, а других субъектов обеспечения безопасности ОПВН (ФСБ, МВД и т.п.). Ввод в действие такого рода мер возможен на некоторый промежуток времени, когда есть основания предполагать, что вызвавшие их причины не носят долговременного характера. Если же это не так или характеристики ОМН выше характеристик и ПМН и ТМН (Z<У, и У>Х), то должно приниматься решение: о совершенствовании СФЗ;
об изменении:
· технологического процесса для ликвидации его наиболее уязвимых мест;
· конструкции объекта;
· инфраструктуры, окружающей объект;
· организации функционирования внешних сил безопасности и т.п.
Предпочтительность выбора и последовательности ввода в действие мер определяется с учетом возможности реализации решения, по наличию временных, людских и финансовых ресурсов. Таким образом, фактически речь может идти о пересмотре проектной угрозы (ПМН). Вероятно, это может быть связано с причинами, которые носят долговременный характер. Важное место в этом случае должно быть отведено мерам, реализуемым другими субъектами обеспечения безопасности объекта.
«Позиция пессимизма» при разработке моделей нарушителей
Под понятием «позиция пессимизма» понимается допущение о возможных характеристиках потенциальных нарушителей. Достаточно просто могут быть описаны позиции полного пессимизма и полного оптимизма. В первом случае характеристики нарушителей близки к максимально возможным. Примерное описание характеристик нарушителя здесь может быть следующим:
1. реализацию угрозы осуществляет наиболее обученный и подготовленный нарушитель (группа нарушителей);
2. нарушитель (группа) располагает всеми необходимыми сведениями об объекте, его технологическом процессе, предметах физической защиты;
3. нарушитель (группа) располагает всеми необходимыми сведениями о характеристиках СФЗ объекта и организации ее функционирования;
4. нарушитель (группа) действует в сговоре с внутренним нарушителем, имеющим высокие полномочия и в совершенстве знающим объект;
5. группа имеет достаточную численность и оснащенность для реализации выбранного сценария, приводящего к потерям объекта, государства и общества, близким к максимальным для данной угрозы.
Позиция полного оптимизма предполагает характеристики нарушителей, которые почти противоположны перечисленным выше. Кратко эта позиция может быть сформулирована следующим образом: «Нарушитель имеет характеристики, при которых стоящие перед ним задачи трудновыполнимы, и, вероятнее всего, независимо от складывающихся обстоятельств нарушитель будет нейтрализован силами охраны».
Кроме этих двух позиций, которые в теоретическом плане практически не используются, необходимо кратко сказать еще о двух позициях: реалистической и оправданного пессимизма.
Реалистическая позиция предполагает, что в качестве модели нарушителя принята такая, которая, по мнению экспертов, наиболее вероятна. Иными словами, модели нарушителя присваиваются характеристики, которые представляются экспертам на текущий момент наиболее оправданными. В ряде случаев на основании реалистической позиции формируется ОМН.
Позиция оправданного пессимизма предполагает, что возможности нарушителя не абсолютизируются (как при пессимистической) и заведомо не занижаются (как при оптимистической) позициях. Позиция оправданного пессимизма впервые была предложена и достаточно широко использована в книге Бояринцев А.В. и др. «Проблемы антитерроризма: категорирование и анализ уязвимости объектов». При этом сегодня нет однозначного толкования этой позиции как по отношению к моделям нарушителей, так и по отношению к угрозам и сценариям их реализации. В самом общем случае можно считать, что позиция оправданного пессимизма по отношению к моделям нарушителей по смыслу близка к понятию риска по отношению к сценариям реализации угроз.
При этом под «риском» понимается математическое ожидание цены потерь. Иными словами, в некоторых случаях можно считать, что характеристики модели нарушителя при позиции оправданного пессимизма близки к характеристикам модели нарушителя, реализующего сценарий, приводящий к потерям, близким к риску. В простейшем случае можно считать, что позиция оправданного пессимизма предполагает характеристики нарушителя более значительными, чем при реалистической, и меньшими, чем при пессимистической концепции.
Вопросы для самоконтроля:
1. Дайте определение понятия «Нарушитель», «Злоумышленник», «Модель нарушителя».
2. Что отражает содержательная часть модели нарушителей?
3. Перечислите уровни возможностей нарушителей.
4. Что отражает неформальная модель нарушителя?
5. Что определяется при разработке модели нарушителя?
6. Перечислите какие лица могут быть «внутренним нарушителем» и «посторонним нарушителем».
7. Назовите три мотива нарушений.
8. Классифицируйте нарушителей.
9. Для чего нужны модели нарушителя?
Список литературы:
1. Корт, С.С. Методы и технические средства обеспечения безопасности информации [Текст] / С.С. Корт. – СПб.: Феникс, 2001. – 89 с.
2. Мельников, В.П. Информационная безопасность и защита информации [Текст] / В.П. Мельников. - М.: Издательский центр «Академия», 2008. – 336 с.
3. Романец, Ю.В. Защита информации в компьютерных системах и сетях [Текст] / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин. - М.: радио и связь, 2001. – 149 с.
4. Степанов, Е.А. Информационная безопасность и защита информации [Текст] / Е.А. Степанов, И.К. Корнеев. – М.: ИНФРА-М, 2005. -177с.
