Термин " несанкционированный доступ к информации " (НСДИ) определен как доступ к информации, нарушающий правила разграничения доступа с использованием штатныхсредств вычислительной техники или автоматизированных систем.
Под правилами разграничения доступа понимается совокупность положений, регламентирующих права доступа лиц или процессов (субъектов доступа) к единицам информации (объектам доступа). Процесс получения, обработки, ввода или выдачи информации осуществляется в КС путем выполнения в определенной последовательности множества программ. Начало процесса вызывается действиями пользователя (подача команды) или событиями (поступление сообщения, наступление установленной даты и(или) времени, сбой оборудования и т.п.) Процессы инициируются в КС в интересах определенных лиц, поэтому и на них накладываются ограничения по доступу к ресурсам.
Право доступа к ресурсам КС определяется руководством для каждого сотрудника в соответствии с его функциональными обязанностями.
|
|
Выполнение установленных правил разграничения доступа в КС реализуется за счет создания системы разграничения доступа (СРД), которая подробно рассматривается в главе 8.
Несанкционированный доступ к информации возможен только с использованием штатных аппаратных и программных средств в следующих случаях:
¨ отсутствует система разграничения доступа;
¨ стихийные бедствия и аварии;
¨ сбой или отказ в КС;
¨ ошибочные действия пользователей или обслуживающего персонала компьютерных систем;
¨ ошибки в СРД;
¨ фальсификация полномочий.
Если СРД отсутствует, то злоумышленник, имеющий навыки работы в КС, может получить неограниченный доступ к любой информации. В результате стихийных бедствий или аварий, сбоев или отказов средств КС, а также ошибочных действий обслуживающего персонала и пользователей возможны состояния системы, при которых упрощается НСДИ. Злоумышленник может выявить ошибки в СРД и использовать их для НСДИ. Фальсификация полномочий является одним из наиболее вероятных путей (каналов) НСДИ и осуществляется, как правило, в результате хищения атрибутов доступа (ключей, паролей и т.д.).