2014-02-02
861
В системах коммутации и телефонных станциях
Модели угроз безопасности информации
В ОТРАСЛИ СВЯЗИ УКРАИНЫ
Информация, сохраняемая и циркулирующая в АТС, подлежит технической защите. Объектом технической защиты является:
– информация пользователя – конфиденциальная, а также открытая, но важная для личности, общества и государства информация;
– информационные ресурсы АТС – информация и (или) любой объект, являющийся элементом определенной информационной технологии (технические средства вычислительной или телекоммуникационной техники, программы, данные и др.)
Информация, которая подлежит технической защите, в процессе функционирования АТС может подвергаться влияниям угроз, вследствие чего может произойти её утечка, нарушение её целостности или нарушение доступности к ней со стороны авторизованных пользователей (см. Закон Украины «О защите информации в автоматизированных системах», «Положение о технической защите информации в Украине», Рекомендации Совета Европы №№ R(89)2, R(95)4 и др.)
|
|
|
Способность системы ТЗИ противостоять влияниям угроз определяет уровень защищенности информационных ресурсов АТС. Необходимость создания системы ТЗИ на АТС определяется владельцем АТС в соответствии с требованиями законодательства и нормативными документами по ТЗИ, действующих в Украине. АТС, как правило, должны оснащаться штатными и, при необходимости, дополнительными (внештатными) средствами защиты, которые при их совместном использовании образуют комплекс средств и механизмов защиты, обеспечивающий необходимый уровень защищенности информационных ресурсов АТС. Содержание и последовательность работ по противодействию угрозам и их нейтрализации должны соответствовать указанным в ДСТУ 3396.0 и ДСТУ 3396.1 этапам создания системы защиты информации:
1. Анализ информационной среды:
– характер и содержание задач абонента;
– объемно-временные характеристики.
2. Анализ среды пользователя:
– организационные структуры пользователей;
– полномочия пользователей;
– состав и функциональные обязанности пользователей.
3. Анализ технологической среды:
– характеристики первичной телефонной сети;
– основные характеристики АТС;
– условия и способы обработки информации на АТС;
– внешние факторы функционирования АТС.
4. Анализ среды потенциальных нарушителей:
– организационные структуры потенциальных нарушителей;
– состав и возможности нарушителей;
– модели нарушителей.
На основании перечисленных этапов анализа производится определение необходимого уровня защищенности информационных ресурсов АТС, строится модель угроз для информации на АТС с оценкой последствий (вероятных потерь) от их возможных проявлений, а затем разрабатываются модель защиты и комплекс средств и механизмов защиты.
|
|
|
Техническая защита информации на АТС осуществляется от следующих видов угроз:
– нарушение конфиденциальности (ознакомление с информацией ограниченного доступа неавторизованными пользователями);
– нарушение целостности (несанкционированное законным обладателем изменение, подмена или уничтожение информации);
– нарушение доступности или отказа в обслуживании (внештатное ограничения в реализации авторизованными пользователями штатных процедур доступа к информационным ресурсам);
– нарушение мониторинга или управляемости (нарушение штатных процедур идентификации и аутентификации, контроля доступа и контроля действий пользователей, полная или частичная потеря управляемости станцией);
– несанкционированное пользование информационными ресурсами станции (например, несанкционированное пользование услугами, предоставляемых станцией).
Для первых двух видов объектом угрозы может быть как информация пользователя, так и информационные ресурсы АТС. Для следующих трех видов – информационные ресурсы АТС (эти виды угроз могут оказывать влияние и на ограничения по доставке информации пользователя – от задержки во времени до полной невозможности). Поскольку перечисленные виды угроз оказывают влияние на информацию пользователя и на информационные ресурсы АТС, то оба объекта угрозы (вся информация, сохраняемая и циркулирующая в АТС) подлежит технической защите.
Цель технической защиты информации – обеспечение интегрированной защиты от несанкционированного доступа к информации, от утечки информации через технические каналы, от закладываемых устройств и программных закладок, а также от специальных недопустимых регламентом влияний на элементы АТС и среду их функционирования.
Разделение всей информации АТС на информацию пользователя и информационные ресурсы АТС обусловлено необходимостью определения всего перечня угроз. Перечень существенных угроз может отличаться в зависимости от вида и типа АТС. Например, для электромеханических АТС в меньшей мере возможны угрозы информационным ресурсам АТС, такие, как нарушение доступности или отказа в обслуживании, нарушение мониторинга или управляемости станцией, несанкционированное пользование услугами. В большей мере возможны угрозы информации пользователя, такие, как нарушение конфиденциальности и целостности информации реализуемых, например, при помощи современных средств приема и выделения информативных параметров побочных электромагнитных излучений и наводок или побочных акустико-электрических преобразований. Для АТС с программным управлением в перечне угроз значительно возрастает доля угроз информационным ресурсам АТС (последние три вида), реализуемых, например, при помощи создания каналов доступа к информационным ресурсам АТС путем подбора пароля или путем внедрения специальных аппаратных и программных закладок.
Общий перечень угроз является составной частью модели угроз.
Модель угроз для информации на АТС – описание совокупности существенных угроз для информационных ресурсов, способов и средств их реализации с указанием предельно допустимых потерь, связанных с их возможными проявлениями в конкретных или предполагаемых условиях применения АТС.
Состав угроз для каждого из типов АТС делятся на два типа:
– угрозы информации пользователя;
– угрозы информационным ресурсам АТС.
