Модель угроз сохранности данных АРМ

Введение

Настоящий документ определяет модель угроз сохранности данных автоматизированного рабочего места (далее - АРМ), предназначенного для хранения, обработки и последующего использования информации, имеющей гриф ограниченного доступа.

Особенности функционирования

  • АРМ располагается в отдельном выделенном помещении, защищенном как помещение для ведение конфиденциальных переговоров (бронированная дверь, средства акустического и виброакустического зашумления);
  • доступ к защищаемой информации осуществляется в соответствии с уровнем доступа пользователей АРМ;
  • АРМ является полностью автономным и не имеют сетевого соединения с локальными и глобальными вычислительными сетями.

Модель нарушителя

Пользователи АРМ

Пользователями АРМ являются сотрудники организации, допущенные к работе с информацией, имеющей гриф ограниченного доступа, в силу их прямых должностных обязанностей.

Для работы с АРМ от всех сотрудников организации требуется прохождение специальной процедуры для получения соответствующей формы допуска.

Нарушителями по отношению к АРМ могут быть сотрудники организации, имеющие непосредственный допуск для работы с АРМ, сотрудники организации, не имеющие допуск для работы с АРМ, и лица, не являющиеся сотрудниками организации.

Основные группы и классы нарушителей

При рассмотрении нарушителей необходимо разделить их на группы по отношению к АРМ и соответственно возможностям воздействия на его компоненты. Групп нарушителей две:

  • внешние нарушители (группа О) – физические лица, не обладающие правами доступа внутрь контролируемой зоны и соответственно не имеющие возможности прямого воздействия на компоненты АРМ;
  • внутренние нарушители (группа И) – физические лица, обладающие правами доступа внутрь контролируемой зоны и соответственно имеющие доступ к техническим средствам АРМ.

Вне зависимости от групп нарушитель может относиться к одному из четырех классов по возможным действиям:

  • первый (низкий) уровень (класс 1) возможностей нарушителя характеризуется запуском задач из фиксированного набора с заранее предусмотренными функциями по обработке информации. Также внешний злоумышленник, использующий технические каналы утечки информации;
  • второй (класс 2), включает возможности пользователей первого уровня. Дополнительно имеет возможности создания и запуска собственных программ с новыми функциями по обработке информации. Таким образом, возможна ситуация, когда внешний нарушитель реализует внутренние угрозы;
  • третий (класс 3), имеет возможность управления функционированием АРМ, то есть воздействовать на базовое программное обеспечение, его состав и конфигурацию. На этом уровне велика вероятность ошибок или непреднамеренных вредоносных действий законных пользователей;
  • четвертый (класс 4), отличается полным объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АРМ, вплоть до включения в состав АСВТ технических средств с новыми функциями по обработке данных.

Различение нарушителей по квалификации, как специалиста в области информационных технологий:

  • неопытный пользователь (класс А): нарушитель этого класса предоставляет опасность как источник невнимательных или неверных действий на АРМ, которые редко, но могут привести к сбою или даже отказу работы системы;
  • уверенный пользователь (класс Б): данный класс нарушителя может быть источником нарушений работы АРМ, но попытки установить свои программы, воспользоваться внешними ресурсами, в том числе Интернет, будут пресечены системой разграничения доступа;
  • высококвалифицированный пользователь (класс В): все попытки нарушителя данного класса обойти установленные правила разграничения доступа должны фиксироваться системой аудита безопасности, блокироваться системой защиты АРМ (данные о нарушениях должны быть своевременно предоставлены куратору безопасности и администратору безопасности АРМ).

Характеристики группы внешних нарушителей

С учетом особенностей построения АРМ, а именно:

  • наличие двойного контура охраны: контрольно-пропускной пункт при входе на территорию и контрольно-пропускной пункт при входе в здание, где располагается АРМ;
  • отсутствие внешних каналов связи, использующихся АРМ;
  • возможности внешнего нарушителя крайне ограниченны и выделяется только один вид внешнего нарушителя – осуществляющий атаки на технические каналы утечки информации путем перехвата и анализа побочных электромагнитных излучений и наводок (ПЭМИН) технических средств АРМ, а также с использованием специальных электронных устройств съема информации, внедренные в технические средства АРМ на этапе его изготовления.

Возможности внешнего нарушителя зависят от условий размещения и проверки технических средств АРМ и от условия размещения и технического уровня средств съема и перехвата информации.

Характеристики группы внутренних нарушителей

В зависимости от реализованных организационных и технических мер защиты, в обобщенной модели нарушителя АРМ можно выделить четыре вида потенциальных внутренних нарушителей:

  • внутренний нарушитель, являющийся зарегистрированным пользователем АРМ, но не являющийся членом групп администраторов безопасности и администраторов программного обеспечения АРМ. Нарушитель этого вида реализует атаки на подлежащие защите информационные ресурсы АРМ, используя возможности по непосредственному доступу к информации ограниченного доступа с использованием доступных ему программно-аппаратных средств взаимодействия с АРМ. Возможности по реализации атак внутреннего нарушителя первого вида сводятся, в основном, к попыткам расширения своих полномочий и преодоления средств защиты информации с использованием только штатных программных и технических средств взаимодействия с АРМ.
  • внутренний нарушитель, имеющий санкционированный доступ к техническим средствам АРМ, но не являющийся их зарегистрированным пользователем – обслуживающий персонал (рабочие подсобных специальностей). Нарушитель этого вида реализует атаки на подлежащие защите информационные ресурсы АРМ, используя оставленные без контроля технические средства АРМ, носители информации и так далее, а также путем внедрения аппаратных закладок, программных средств скрытого информационного воздействия и компьютерных вирусов. Возможности внутреннего нарушителя второго вида существенным образом зависят от действующих ограничительных факторов по допуску физических лиц в помещения, в которых расположен АРМ, и контролю за порядком проведения работ.
  • внутренний нарушитель, имеющий санкционированный доступ к техническим средствам АРМ, но не являющийся их зарегистрированным пользователем – разработчики аппаратных и программных средств АРМ, осуществляющие их установку, пуско-наладочные работы, сопровождение в период эксплуатации. Нарушитель этого вида реализует атаки на подлежащие защите объекты, используя специальные деструктивные средства – аппаратные закладки, программных средств скрытого информационного воздействия и компьютерные вирусы, которые могут быть внедрены в технические и программные средства на указанных этапах. Особенность внутреннего нарушителя третьего вида в том, что он может осуществлять различные действия в зависимости от алгоритма функционирования, заложенного в специальных деструктивных средствах. Активизация специальных деструктивных средств может произойти в любой момент работы АРМ на протяжении всего его жизненного цикла.
  • внутренний нарушитель, имеющий санкционированный доступ к техническим средствам АРМ и являющийся членом групп администраторов безопасности или администраторов программного обеспечения АРМ. Особенность нарушителя четвертого вида в том, что он входит в число доверенного персонала АРМ, что предоставляет ему возможность использования для реализации атак широкие возможности по воздействию на внутреннее состояние компонентов АРМ.

Возможности внутреннего нарушителя существенным образом зависят от действующих ограничительных факторов. Из числа таких факторов основным является реализация комплекса режимных и организационно-технических мер, направленных на предотвращение и пресечение несанкционированных действий, в том числе по подбору и расстановке кадров, допуску физических лиц в помещение, в которых расположен АРМ, и контролю порядка проведения работ.

Состав групп нарушителей

Внутренним нарушителем может быть лицо из следующих категорий персонала организации:

  • зарегистрированные конечные пользователи АРМ (сотрудники организации);
  • сотрудники организации, не допущенные к работе с АРМ;
  • персонал, обслуживающий технические средства АРМ;
  • технический персонал, обслуживающий здание и помещение, в котором расположен АРМ;
  • администраторы безопасности АРМ;
  • руководители различных уровней.

Категории лиц, которые могут быть внешними нарушителями:

  • уволенные сотрудники организации;
  • посетители, являющиеся представителями сторонних организаций, выполняющих какие-либо работы.

При построении системы защиты, планировании работ и мероприятий важно учитывать следующие общие положения:

  • нарушитель хорошо осведомлен о средствах обработки информации и технических средствах защиты от НСД, старается обойти систему защиты и скрыть свои действия от системы аудита и средств оперативного реагирования;
  • нарушителю заранее неизвестны значения настраиваемых параметров средств защиты, пароли, ключи, идентификаторы, но он обладает адекватными финансовыми средствами для подкупа, шантажа или приобретения специального оборудования;
  • сотрудники службы безопасности АРМ и другие осведомленные лица могут осуществлять непреднамеренный НСД (случайный) в результате ошибок, невнимательности, а также из-за недостатков принятой технологии;
  • в результате правильно построенной системы подбора кадров и специальных мероприятий исключается коалиция нарушителей или вероятность коалиции пренебрежимо мала;
  • НСД осуществляется только штатными средствами АРМ.

С учетом особенностей построения АРМ можно выделить следующие виды нарушителей:

  • группа О класс В1;
  • группа И всех основных классов нарушителя.

Модель угроз

Основные угрозы сохранности данных АРМ

Основная задача безопасности АРМ – обеспечение сохранности хранимых данных, а именно:

  • обеспечение секретности данных;
  • обеспечение надежного хранения данных;
  • предотвращение НСД к данным.

В соответствии с данными задачами к основным видам угроз сохранности данных АРМ можно отнести:

  • нарушение секретности информации;
  • нарушение целостности информации, а также фальсификация данных;
  • уничтожение информации;
  • несанкционированное изменение алгоритмов функционирования АРМ;
  • несанкционированное изменение параметров АРМ;
  • несанкционированное использование ресурсов АРМ;
  • отказ в обслуживании, блокировка санкционированного доступа к данным.

В результате нарушения секретности информации нарушителям становится известны данные, имеющие гриф ограниченного доступа, что может повлечь за собой большие экономические последствия.

В результате нарушения целостности и достоверности информации пользователям АРМ придется отказаться от данных и приложить дополнительные усилия для восстановления данных. В случае, если нарушение достоверности не было выявлено, то появляются риски принятия пользователями АРМ неверных решений на основе некорректных данных.

В результате несанкционированного изменения алгоритмов функционирования АРМ он, при сохранении внешних признаков корректной работы, не сможет осуществлять решение своих основных задач, что может привести в дальнейшем к увеличению рисков НСД или к необходимости выделения дополнительных ресурсов для исправления изменений.

В результате несанкционированного изменения параметров АРМ увеличиваются риски НСД к информации.

Несанкционированное использование ресурсов АРМ, с одной стороны, является средством раскрытия или компрометации информации, а с другой – имеет самостоятельное значение, поскольку может нанести ущерб пользователям АРМ. Этот ущерб может варьироваться в широких пределах – от задержек при обработке информации до выхода из строя АРМ. Необходимо отметить, что ошибочное использование ресурсов АРМ, будучи даже санкционированным, тем не менее, может привести к раскрытию, искажению или разрушению данных.

В результате отказа в обслуживании становятся возможными срывы своевременного решения задач, стоящих перед АРМ, в связи с нарушением в нем технологических процессов обработки информации.

Классификация угроз

Все угрозы можно разделить на классы в зависимости от характера угрозы, вида воздействия, источника и объекта угрозы.

Технологические

Данный класс угроз относится к используемому в АРМ аппаратному и программному обеспечению.

Физические

Физические угрозы относятся ко всем техническим средствам, использующимся в работе АРМ. Физические угрозы применяются только к материальным ресурсам АРМ и лишь косвенно ведут к угрозам сохранности данных АРМ. В результате нарушения режима работы технических средств или полному выводу их из строя может произойти отказ в обслуживании, а также повышается вероятность НСД к данным АРМ ограниченного доступа и искажение или потеря данных АРМ.

Физические угрозы подразделяются на:

Форс-мажорные обстоятельства

Угрозы возникновения обстоятельств непреодолимой силы – событий, на которые владельцы и пользователи АРМ не могут оказать влияния и за возникновение которых они не несут ответственности, например: наводнение, пожар, землетрясение, а также забастовка, правительственные постановления или распоряжения государственных органов.

Угрозы:

  1. Стихийные бедствия, пожары, радиоактивное излучение.
Отказ оборудования

Угрозы поломок или частичного выхода из строя технических средств АРМ.

Угрозы:

  1. Отказы и сбои аппаратно-программных средств.
  2. Отказ и сбои средств хранения информации.
Человеческий фактор

Непреднамеренные или умышленные действия пользователей АРМ, в результате которых происходит поломка технических средств АРМ или изменение параметров, алгоритмов функционирования АРМ. Прямое воздействие внешнего злоумышленника на технические средства АРМ не рассматривается с учетом его расположения на охраняемой территории.

Также к человеческому фактору относятся действия злоумышленника, направленные на воздействие на технические средства АРМ с целью перехвата обрабатываемой информации ограниченного доступа.

Перехват может быть осуществлен за счет приема и анализа:

  • излучений техническими средствами АРМ электрических, магнитных и электромагнитных полей опасных сигналов;
  • излучений электрических, магнитных и электромагнитных полей опасных сигналов за счет паразитной генерации технических средств АРМ;
  • наводок опасных сигналов на линии связи, отходящие от технических средств АРМ, на посторонние линии связи и другие токопроводящие коммуникации, проложенные вблизи технических средств АРМ;
  • наводок опасных сигналов на провода сети электропитания и заземления технических средств АРМ;
  • излучений технических средств АРМ, модулированных речевым сигналом за счет электроакустических и виброэлектрических преобразований на элементах технических средств АРМ, с учетом того, что технические средства АРМ размещены в помещении, где в процессе работы осуществляется проведение секретных переговоров;
  • информации по акустическому и виброакустическому каналу, с учетом того, что технические средства АРМ размещены в помещении, где в процессе работы осуществляется проведение секретных переговоров.

Съем информации ограниченного доступа также может вестись с использованием электронных закладок, сделанных как на этапе монтажа АРМ, так и при обслуживании технических средств АРМ и помещения, где установлены технические средства АРМ.

Угрозы:

  1. Побочные электромагнитные излучения и наводки.
  2. Утечка по акустическому, виброакустическому и электроакустическому каналам.
  3. Ошибки в аппаратном обеспечении.
  4. Непреднамеренные действия пользователей при обращении с техническими средствами.
  5. Закладки в аппаратном обеспечении.
  6. Преднамеренные действия пользователей при обращении с техническими средствами.
  7. Непреднамеренные действия сотрудников, направленные на технические средства.
  8. Преднамеренные действия сотрудников, направленные на технические средства.
Логические

Логические угрозы относятся к программному обеспечению, использующемуся в АРМ. К программному обеспечению относятся:

  • операционная система;
  • программные средства защиты от НСД;
  • специальное программное обеспечение для обработки и хранения информации ограниченного доступа.
Человеческий фактор

Выделяются непреднамеренные или умышленные действия пользователей АРМ. Действия внешнего злоумышленника не рассматриваются с учетом расположения АРМ на охраняемой территории.

Непреднамеренные действия пользователя АРМ в операционной системе могут повлечь повреждение программных средств и искажение или потерю информации ограниченного доступа.

Умышленные действия пользователей АРМ могут быть направлены на повышение своих полномочий и попытку НСД к информации. Для этого могут быть использованы специальные программные средства, которые могут реализовывать следующие функции:

  • копирование информации во время штатных режимов ее обработки или передачи;
  • копирование программного обеспечения во время штатных режимов его функционирования;
  • считывание информации с внешних носителей;
  • сбор остаточной информации из ОЗУ, буферов устройств или с внешних носителей;
  • выполнение нештатных функций по обработке информации, в частности ее размножение и несанкционированную запись на внешние носители информации;
  • выполнение нештатных изменений конфигурационных параметров программного обеспечения;
  • внедрение программных средств скрытого информационного воздействия и компьютерных вирусов.

Угрозы:

  1. Ошибки в программном обеспечении.
  2. Непреднамеренные действия пользователей при работе с программным обеспечением.
  3. Закладки в программном обеспечении, внедрение вирусов.
  4. Преднамеренные действия пользователей при работе с программным обеспечением.

Организационные

Данный класс угроз относится к организации работы с АРМ и затрагивает регламенты сбора, обработки, хранения и использования информации ограниченного доступа.

Весь персонал подразделяется на пользователей АРМ и персонал, не допущенный к работе с АРМ.

Действия персонала могут быть направлены на получение информации и на осуществление сбоя работы АРМ.

В зависимости от вида воздействия подразделяются угрозы действия персонала и угроза воздействия на персонал внутренними или внешними злоумышленниками.

Действия персонала

Действия персонала, как допущенного, так и не допущенного к работе с АРМ, подразделяются на умышленные и неумышленные действия и могут быть выполнены в результате:

  • отсутствие четкого описания разрешенных и запрещенных действий с техническими и программными средствами АРМ;
  • отсутствие механизмов организационного контроля выполняемых действий;
  • отсутствия механизмов положительной и отрицательной мотиваций персонала.
Умышленные действия

Умышленные действия направлены на получение несанкционированного доступа к информации или нарушение режима работы АРМ и становятся возможны при недостаточной реализации системы организационного контроля за действиями персонала.

Угрозы:

  1. Преднамеренные действия персонала на получение НСД.
Неумышленные действия

Угрозы безопасности возникают при недостаточной квалифицированности пользователей АРМ и незнании основных организационных особенностей функционирования АРМ.

Угрозы:

  1. Ошибочные действия персонала, в результате которых происходит НСД.
Воздействие на персонал

Воздействие на персонал может вестись как сотрудниками, так и внешними злоумышленниками и проводится для вынуждения персонала на осуществление санкционированного или несанкционированного доступа к АРМ с целью хищения информации или внесения перерывов в работу АРМ.

Физическое воздействие

К физическому воздействию относятся меры физического насилия.

Угрозы:

  1. Раскрытие информации ограниченного доступа пользователями в результате физического насилия.
Психологическое воздействие

К психологическому воздействию относятся шантаж, гипноз, подкуп персонала с целью принуждения к выполнению определенных действий.

Также под психологическим воздействием предполагается возможность давления на персонал с использованием служебных полномочий.

Угрозы:

  1. Раскрытие информации ограниченного доступа пользователями в результате психологического давления.
  2. Внесение изменений в АРМ под действием психологического давления (в том числе с использованием должностных полномочий).

Организационно-технические меры противодействия угрозам

В качестве типовых организационных мер, способствующих защите от перечисленных выше критических угроз необходимо выполнение следующих действий:

  1. Регулярное выполнение процедуры резервного копирования информации ограниченного доступа.
  2. Использование источников бесперебойного питания.
  3. Установка датчиков регистрации признаков аварии или стихийного бедствия (дыма, наличия открытого огня).
  4. Установка системы автоматического оповещения об авариях.
  5. Контроль доступа персонала в защищаемое помещение.
  6. Контроль доступа персонала к АРМ.
  7. Выполнение периодических регламентных работ по контролю функционирования АРМ.
  8. Контроль графика периодического просмотра и анализа протокола работы системы администратором безопасности.
  9. Регистрация актов уничтожения вышедших из строя компонентов системы.
  10. Привлечение доверенного квалифицированного персонала для ремонта элементов АРМ.
  11. Использование охранной сигнализации в защищаемом помещении.
  12. Регулярный контроль состояния защищаемого помещения.
  13. Регулярный аудит безопасности работы АРМ.
  14. Периодическая аттестация администратора безопасности системы.
  15. Контроль доступа к системной документации на аппаратно-программные средства и настройки.
  16. Централизованная поддержка и обновление антивирусного программного обеспечения.
  17. Проведение специального исследования технических средств и специальной проверки.
  18. Использование специальных технических средств зашумления.
  19. Обучение пользователей регламентам работы с АРМ.
  20. Наличие организационно-распорядительных мер безопасности.
  21. Использование сертифицированного программного обеспечения.
  22. Проведение кадровой работы для повышения мотиваций сотрудников.
  23. Проведение кадровой работы для выявления нелояльного персонала.

Перечень сокращений

АРМ – Автоматизированное рабочее место

АС – Автоматизированная система

АСВТ – Аппаратные средства вычислительной техники

НСД – Несанкционированный доступ

ОЗУ – Оперативное запоминающее устройство

ПЭМИН – Побочные электромагнитные излучения и наводки

Термины и определения

Администратор безопасности – привилегированный пользователь АС, обеспечивающий штатное функционирование средств и системы защиты информации на основе реализации положений политики безопасности.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Автоматизированное рабочее место – программно–технический комплекс, предназначенный для автоматизации определенного вида деятельности.

Безопасность компьютерной информации – достижение требуемого уровня защиты (класса и категории защищенности) объекта информатизации при обработке информации и при ее передаче через сети передачи данных, обеспечивающего сохранение таких ее качественных характеристик (свойств), как: секретность (конфиденциальность), целостность и доступность.

Доступ к информации – ознакомление с информацией или получение возможности ее обработки. Доступ к информации регламентируется ее правовым режимом и должен сопровождаться строгим соблюдением его требований. Доступ к информации. осуществленный с нарушениями требований ее правового режима, рассматривается как несанкционированный доступ.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации (гост_р_50922-96).

Защита от несанкционированного доступа – деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

Защищаемое помещение – служебный кабинет, специально предназначенный для проведения конфиденциальных мероприятий.

Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информатизация – организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов

Информационная система – автоматизированная система, состоящая из персонала и комплекса средств автоматизации его деятельности по получению, хранению, обработке и передаче информации. Организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Информационные ресурсы – логически связанный, целостный и систематизированный набор актуальных данных. Отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Информационное обеспечение – совокупность системно ориентированных данных, описывающих принятый в системе словарь базовых описаний и актуализируемых данных о состоянии информационной модели объекта информатизации на всех этапах его жизненного цикла.

Информационная технология – технология, основу которой составляют процессы сбора, хранения, преобразования и анализа информационных ресурсов.

Информационные процессы – процессы сбора, обработки, накопления, хранения, поиска и распространения информации.

Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Комплексная защита информации – комплекс мероприятий по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию.

Контролируемая зона – территория, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

Надежность – комплексное свойство систем сохранять во времени в установленных пределах значения всех параметров, характеризующих способность системы выполнять свои функции в заданных режимах и условиях эксплуатации. Несанкционированный доступ (несанкционированные действия) – Доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Объект автоматизации – субъект (структурное подразделение) предприятия с отдельной инфраструктурой, на базе которой организуется функционирование и эксплуатация комплекса средств автоматизации.

Пользователь – лицо, участвующее в функционировании системы (АС) или использующее результаты ее функционирования.

Система защиты информации от НСД – комплекс организационных мер и программно-технических средств защиты от несанкционированного доступа к информации в автоматизированной системе.

Технический канал утечки информации – совокупность объекта технической разведки, физической среды и средства технической разведки, которыми добываются разведывательные данные.

Только авторизованные участники могут оставлять комментарии.