В данном разделе Концепции описаны:
• угрозы безопасности информации и их источники;
• пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в АС организации;
• умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;
• утечка информации по техническим каналам;
• неформальная модель возможных нарушителей. Факторы и угрозы безопасности рассмотрены в разд. 6.1 учебного пособия.
Среди угроз безопасности выделяются наиболее опасные, например:
• нарушение конфиденциальности защищаемых сведений;
• нарушение работоспособности АС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
• нарушение целостности информационных, программных и других ресурсов АС, а также фальсификация (подделка) документов.
Далее в Концепции описываются источники угроз, которые могут быть преднамеренными и непреднамеренными и т.д. Пути реализации всех угроз непосредственно увязываются с мерами по их нейтрализации, как это представлено в табл. 10.1 [50] на примере непреднамеренных угроз.
|
|
Вопросы, связанные с выявлением и оценкой технических каналов утечки информации, рассмотрены в гл. 7.
В Концепции также приводятся неформальные модели нарушителей (см. разд. 6.3). В документе указано, что «пользователи и обслуживающий персонал из числа сотрудников организации имеют наиболее широкие возможности по осуществлению несанкционированных действий вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связаны с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами или спецслужбами».
От всех нарушителей защититься невозможно, поэтому принимаются ограничения и предположения относительно характера действий возможных нарушителей [50]:
• работа по подбору кадров и специальные мероприятия исключают возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий двух и более нарушителей — сотрудников организации по преодолению системы защиты;
• нарушитель скрывает свои несанкционированные действия от других сотрудников организации;
• несанкционированные действия могут быть следствием ошибок пользователей, администраторов безопасности, эксплуатирующего и обслуживающего персонала, а также недостатков принаносимого ущерба
Действия сотрудников организации, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т. п.)
|
|
1. Организационные меры (регламентация действий, введение запретов).
2. Применение физических средств, препятствующих неумышленному совершению нарушения.
3. Применение технических (аппаратно-программных) средств разграничения доступа к ресурсам.
4. Резервирование критичных ресурсов
Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т. п.)
1. Организационные меры (удаление всех потенциально опасных программ с дисков ПЭВМ АРМ).
2. Применение технических (аппаратно-программных) средств разграничения доступа к технологическим и инструментальным программам на дисках ПЭВМ АРМ
Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудникам и своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.)
1. Организационные меры (введение запретов).
2. Применение технических (аппаратно-программных) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ
Непреднамеренное заражение компьютера вирусами
1. Организационные меры (регламентация действий, введение запретов).
Окончание табл. 10.1
Основные пути реализации | Меры по нейтрализации угроз |
непреднамеренных искусственных | и снижению возможного |
(субъективных) угроз АС организации | наносимого ущерба |
2. Технологические меры | |
(применение специальных | |
программ обнаружения | |
и уничтожения вирусов). | |
3. Применение аппаратно- | |
программных средств, пре- | |
пятствующих заражению | |
компьютеров компьютерны- | |
ми вирусами | |
Разглашение, передача или утрата | 1. Организационные меры |
атрибутов разграничения доступа | (регламентация действий, |
(паролей, ключей шифрования или | введение запретов, усиление |
ЭЦП, идентификационных карточек. | ответственности). |
пропусков и т.п.) | 2. Применение физических |
средств обеспечения сохран- | |
ности указанных реквизитов | |
Игнорирование организационных | 1. Организационные меры |
ограничений (установленных правил) | (усиление ответственности |
при работе в системе | и контроля). |
2. Использование дополни- | |
тельных физических и техни- | |
ческих средств защиты | |
Некомпетентное использование, на- | Организационные меры |
стройка или неправомерное отклю- | (обучение персонала, усиле- |
чение средств зашиты персоналом | ние ответственности |
подразделения безопасности | и контроля) |
Ввод ошибочных данных | 1. Организационные меры |
(усиление ответственности | |
и контроля). | |
2. Технологические меры | |
контроля за ошибками опе- | |
раторов ввода данных |
нятой технологии обработки, хранения и передачи информации;
• в своей противоправной деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.
|
|