БЕЗОПАСНОСТЬ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации

Основные контуры модели нарушителя определены в руководящем документе Гостехкомиссии России «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».

Кроме уровня знаний нарушителя, его квалификации, подготовленности к реализации своих замыслов, для формирования наиболее полной модели нарушителя необходимо определить:

□         категорию лиц, к которой может принадлежать нарушитель;

□         мотивы действий нарушителя (преследуемые нарушителем цели);

□         техническую оснащенность и используемые для совершения нарушения методы и средства;

□         предполагаемые место и время осуществления незаконных действий нарушителя;

□         ограничения и предположения о характере возможных действий.

Результаты исследований причин нарушений (по данным Datapro Information Services Group и других организаций) говорят об одном: главный источник нарушений - внутри самой автоматизированной системы: 75-85 % нарушений совершаются самими служащими организации, имеющими доступ к ее системе, и только 15-25 % нарушений совершаются лицами со стороны.

Внутренними нарушителями могут быть пользователи (операторы) системы; персонал, обслуживающий технические средства (инженеры, техники и т. п.); сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты); технический персонал, обслуживающий здания и имеющий доступ в помещения; руководители различных уровней.

Внешние нарушители - это клиенты (представители сторонних организаций, граждане); представители организаций, с которыми осуществляется взаимодействие; лица, случайно или умышленно нарушившие пропускной режим; любые лица за пределами контролируемой зоны.

При формировании модели нарушителя и оценке риска от действий персонала необходимо дифференцировать всех сотрудников по возможности доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.

При формировании модели нарушителя следует уделять особое внимание личности нарушителя. Это поможет разобраться в побудительных мотивах и принять соответствующие меры для уменьшения вероятности совершения нарушений.

По технической оснащенности и используемым методам и средствам нарушители подразделяются:

□         на применяющих пассивные средства (средства перехвата без модификации компонентов системы);

□         на использующих только штатные средства и недостатки системы защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств);

□         на применяющих методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

Приведенная классификация предусматривает постоянное обновление информации о характеристиках технических и программных средств ведения разведки и обеспечения доступа к информации.

Незаконные действия нарушитель может осуществлять в разное время (в процессе функционирования, во время работы компонентов системы, во время плановых перерывов в работе, в нерабочее время, в перерывы для обслуживания и ремонта и т. п.); с разных мест (из-за пределов контролируемой зоны; внутри контролируемой зоны, но без доступа в выделенные для размещения компонентов помещения; внутри выделенных помещений, но без доступа к техническим средствам; с доступом к техническим средствам и с рабочих мест конечных пользователей; с доступом в зону данных, архивов и т. п.; с доступом в зону управления средствами обеспечения безопасности).

Учет места и времени действий злоумышленника также позволит конкретизировать его возможности и учесть их для повышения качества системы защиты информации.