2014-02-03
1036
В данном разделе Концепции описаны:
• угрозы безопасности информации и их источники;
• пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в АС организации;
• умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;
• утечка информации по техническим каналам;
• неформальная модель возможных нарушителей. Факторы и угрозы безопасности рассмотрены в разд. 6.1 учебного пособия.
Среди угроз безопасности выделяются наиболее опасные, например:
• нарушение конфиденциальности защищаемых сведений;
• нарушение работоспособности АС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
• нарушение целостности информационных, программных и других ресурсов АС, а также фальсификация (подделка) документов.
Далее в Концепции описываются источники угроз, которые могут быть преднамеренными и непреднамеренными и т.д. Пути реализации всех угроз непосредственно увязываются с мерами по их нейтрализации, как это представлено в табл. 10.1 [50] на примере непреднамеренных угроз.
Вопросы, связанные с выявлением и оценкой технических каналов утечки информации, рассмотрены в гл. 7.
В Концепции также приводятся неформальные модели нарушителей (см. разд. 6.3). В документе указано, что «пользователи и обслуживающий персонал из числа сотрудников организации имеют наиболее широкие возможности по осуществлению несанкционированных действий вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связаны с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами или спецслужбами».
От всех нарушителей защититься невозможно, поэтому принимаются ограничения и предположения относительно характера действий возможных нарушителей [50]:
• работа по подбору кадров и специальные мероприятия исключают возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий двух и более нарушителей — сотрудников организации по преодолению системы защиты;
• нарушитель скрывает свои несанкционированные действия от других сотрудников организации;
• несанкционированные действия могут быть следствием ошибок пользователей, администраторов безопасности, эксплуатирующего и обслуживающего персонала, а также недостатков принаносимого ущерба
Действия сотрудников организации, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т. п.)
1. Организационные меры (регламентация действий, введение запретов).
2. Применение физических средств, препятствующих неумышленному совершению нарушения.
3. Применение технических (аппаратно-программных) средств разграничения доступа к ресурсам.
4. Резервирование критичных ресурсов
Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т. п.)
1. Организационные меры (удаление всех потенциально опасных программ с дисков ПЭВМ АРМ).
2. Применение технических (аппаратно-программных) средств разграничения доступа к технологическим и инструментальным программам на дисках ПЭВМ АРМ
Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудникам и своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.)
1. Организационные меры (введение запретов).
2. Применение технических (аппаратно-программных) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ
Непреднамеренное заражение компьютера вирусами
1. Организационные меры (регламентация действий, введение запретов).
Окончание табл. 10.1
| Основные пути реализации | Меры по нейтрализации угроз |
| непреднамеренных искусственных | и снижению возможного |
| (субъективных) угроз АС организации | наносимого ущерба |
| 2. Технологические меры | |
| (применение специальных | |
| программ обнаружения | |
| и уничтожения вирусов). | |
| 3. Применение аппаратно- | |
| программных средств, пре- | |
| пятствующих заражению | |
| компьютеров компьютерны- | |
| ми вирусами | |
| Разглашение, передача или утрата | 1. Организационные меры |
| атрибутов разграничения доступа | (регламентация действий, |
| (паролей, ключей шифрования или | введение запретов, усиление |
| ЭЦП, идентификационных карточек. | ответственности). |
| пропусков и т.п.) | 2. Применение физических |
| средств обеспечения сохран- | |
| ности указанных реквизитов | |
| Игнорирование организационных | 1. Организационные меры |
| ограничений (установленных правил) | (усиление ответственности |
| при работе в системе | и контроля). |
| 2. Использование дополни- | |
| тельных физических и техни- | |
| ческих средств защиты | |
| Некомпетентное использование, на- | Организационные меры |
| стройка или неправомерное отклю- | (обучение персонала, усиле- |
| чение средств зашиты персоналом | ние ответственности |
| подразделения безопасности | и контроля) |
| Ввод ошибочных данных | 1. Организационные меры |
| (усиление ответственности | |
| и контроля). | |
| 2. Технологические меры | |
| контроля за ошибками опе- | |
| раторов ввода данных |
нятой технологии обработки, хранения и передачи информации;
• в своей противоправной деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.
