Модель нарушителя,возможные пути и способы его проникновения на охраняемый объект
Характеристиканарушителя, степень его подготовки и оснащенности, общие рекомендации поприменению технических способов защиты
Как показывает опыт работы, нормальное безущербноефункционирование системы защиты возможно при комплексном использовании всехвидов защиты и четко спланированных действиях сил службы охраны по сигналам,получаемым от технических средств охранной сигнализации.
Охрана учреждения, как правило, является достаточнодорогостоящим мероприятием, поэтому при выборе уровня защиты целесообразнооценить возможные потери от «беспрепятственного» действия нарушителяи сравнить их с затратами на организацию охраны. Этот показатель являетсяиндивидуальным для каждого объекта и может быть оценен, как правило, весьмаприближенно. Практика создания и эксплуатации комплексов технических средствохранной сигнализации показала, что в большинстве случаев для построенияэффективной охраны требуется наличие комбинированных ТСОС, учитывающихвозможность дублирования функций обнаружения на основе использования различныхфизических принципов действия средств обнаружения.
В основе эффективного противодействия угрозепроникновения нарушителя в охраняемые помещения лежит проведение априорныхоценок:
— приоритетов в системе защиты;
— путей возможного проникновения нарушителей;
— информации, которой может располагать нарушительоб организации системы защиты предприятия;
— технических возможностей нарушителя и т.д., т.е.оценок совокупности количественных и качественных характеристик вероятногонарушителя.
Такая совокупность полученных оценок называется«моделью» нарушителя. Эта модель, наряду с категорией объекта, служитосновой для выбора методов организации охраны объекта, определяет сложность искрытность применяемых технических средств охранной сигнализации ителевизионного наблюдения, варианты инженерно-технической защиты, кадровыйсостав службы охраны и т.д.
По уровню подготовки и технической оснащенности«нарушителя» условно можно разделить на следующие типы:
— случайные;
— неподготовленные;
— подготовленные;
— обладающие специальной подготовкой и оснащенныеспециальными средствами обхода;
— сотрудники предприятия.
Наиболее распространенной «моделью»нарушителя является «неподготовленный нарушитель», т.е. человек,пытающийся проникнуть на охраняемый объект, надеясь на удачу, своюосторожность, опыт или случайно ставший обладателем конфиденциальной информацииоб особенностях охраны. «Неподготовленный нарушитель» не располагаетспециальными инструментами для проникновения в закрытые помещения и тем болеетехническими средствами для обхода охранной сигнализации. Для защиты от«неподготовленного нарушителя» часто оказывается достаточнымоборудование объекта простейшими средствами охранной сигнализации и организацияслужбы невооруженной охраны.
Более сложная «модель» нарушителяпредполагает осуществление им целенаправленных действий, например,проникновение в охраняемые помещения с целью захвата материальных ценностей илиполучения информации. Для крупного учреждения наиболее вероятной«моделью» является хорошо подготовленный нарушитель, возможнодействующий в сговоре с сотрудником или охранником. При этомвозможны такие варианты проникновения, как:
— негласное проникновение одиночного постороннегонарушителя с целью кражи ценностей, для установки специальной аппаратуры илидля съема информации;
— негласное проникновение нарушителя-сотрудникапредприятия с целью доступа к закрытой информации;
— проникновение группы нарушителей в охраняемыепомещения в нерабочее время путем разрушения инженерной защиты объекта и обходасредств охранной сигнализации;
— проникновение одного или группы вооруженныхнарушителей под видом посетителей с целью силового захвата ценностей;
— вооруженное нападение на объект с целью захватазаложников, ценностей, получения важной информации или организации собственногоуправления.
Очевидно, «модель» нарушителя можетпредполагать и сразу несколько вариантов исполнения целей проникновения на 00.
Среди путей негласного проникновения нарушителяпрежде всего могут быть естественные проемы в помещениях: двери, окна,канализационные коммуникации, кроме того непрочные, легко поддающиесяразрушению стены, полы, потолки. Поэтому при организации охранной сигнализациив охраняемом помещении в первую очередь должны быть установлены средстваобнаружения для защиты окон и дверей. Обнаружение проникновения через стены,полы и потолки выполняют, как правило, СО, предназначенные для защиты объемапомещения. Для усиления защиты окон и дверей широко используются металлическиерешетки и защитные жалюзи. Установка достаточно надежных решеток на окна можетиногда позволить отказаться от установки на них средств охранной сигнализации.Однако часто наблюдалось, что неправильная конструкция решеток открываетдополнительные возможности для проникновения в здание. Например, защищая окнапервого этажа, решетки могут облегчить доступ к окнам второго этажа.
Возможность проникновения на объект вооруженныхнарушителей требует не только усиления вооруженной охраны, но и установки навходах обнаружителей оружия, оборудование особо ответственных рабочих местсотрудников кнопками и педалями тревожного оповещения, а в ряде случаев иустановки скрытых телекамер для наблюдения за работой сотрудников. Входы вхранилища ценностей должны оборудоваться специальными сейфовыми дверями сдистанционно управляемыми замками и переговорными устройствами.
Уровни технической оснащенности нарушителя и егознаний о физических принципах работы СО, установленных на объекте, определяютвозможность и время, необходимое ему на преодоление средств инженерной защиты иобход сигнализационной техники. Наиболее эффективны СО, физический принципдействия и способ обхода которых нарушитель не знает. В этом случае вероятностьего обнаружения приближается к единице.
В конечном счете, поскольку задачей системы охраныявляется оказание противодействий нарушителю в достижении его целей, припостроении системы охраны в ее структуру закладывается принцип созданияпоследовательных рубежей на пути движения нарушителя. Угроза проникновенияобнаруживается на каждом рубеже и ее распространению создается соответствующаяпреграда. Такие рубежи располагаются последовательно от прилегающей к зданиютерритории до охраняемого помещения, сейфа. Эффективность всей системы защитыот несанкционированного проникновения будет оцениваться по минимальномузначению времени, которое нарушитель затратит на преодоление всех зонбезопасности. За это время, с вероятностью близкой к 1, должна сработатьсистема охранной сигнализации. Сотрудники охраны установят причину тревоги ипримут необходимые меры.
Если «модель» нарушителя рассматриваетнегласное проникновение в охраняемое помещение нарушителя-сотрудника, в составсредств охранной сигнализации необходимо включить устройства документированияработы средств обнаружения, чтобы фиксировать несанкционированные отключенияканалов сигнализации. Обычно указывается время постановки и снятия с охраныпомещения. Аппаратура документирования должна устанавливаться в специальномпомещении, куда имеют доступ только начальник охраны или ответственныйсотрудник службы безопасности.
Итак, сложность системы охраны, ее насыщенностьсредствами инженерной и технической защиты определяются «моделью»нарушителя, категорией и особенностями объекта охраны. Количество необходимыхзон безопасности определяется, исходя из состава материальных и информационныхценностей, а также специфических особенностей самого объекта. Если объектрасположен в здании с прилегающей к нему территорией, то ограждение ипериметральная охранная сигнализация образуют первую зону безопасности объекта.Последней зоной безопасности, например сейфовой комнаты, будет специальный сейфс кодовым запирающим устройством и сигнализационным средством, передающиминформацию о попытках его вскрытия.
Очевидно, что для разработки «модели»нарушителя применительно к некоторому 00 необходимо обобщение большого опытакак отечественной, так и зарубежной практики построения систем охраны объектов,аналогичных рассматриваемому. С течением времени «модель» нарушителя,а следовательно, и вся концепция охраны могут меняться. Отсюда следует вывод онеобходимости периодического дополнения концепции охраны объекта, обновлениясистемы инженерной защиты, системы охранной сигнализации, телевизионногонаблюдения, системы контроля доступа и всех иных систем, рассматриваемыхсистемной концепцией обеспечения безопасности.
Способыполучения «нарушителем» информации об объекте и технических способахзащиты объекта, вероятные пути проникновения
Целями «нарушителя» или «нарушителей»,проникающих на объект, как отмечалось выше, могут быть: кража материальныхи/или информационных ценностей, установка закладных устройств, разрушениеобъекта, захват заложников, а возможно и захват управления функционированиемобъекта. Злоумышленник будет искать наиболее оптимальные пути проникновения внужное ему помещение для осуществления поставленной противозаконной цели, будетстараться оставить как можно меньше следов своих действий, разрушений. С этойцелью он будет изучать обстановку на объекте, алгоритм охраны, неохраняемыепереходы, помещения, способы и условия хранения ценностей.
Применение систем охранной сигнализации с высокимитактико-техническими характеристиками на всех возможных путях движения«нарушителя» совместно с инженерной и физической защитой позволитдостаточно надежно защитить объект на требуемом уровне.
Таким образом, неоспорима важность принятия мер,максимально затрудняющих получение «нарушителем» сведений об основныххарактеристиках технических средств охраны, их принципе действия, режимахработы.
В то же время некамуфлируемость средств охраннойсигнализации в местах скопления посетителей, распространение слухов об ихсложности, уникальности и невозможности их «обойти» будетспособствовать отпугиванию некоторых потенциальных «нарушителей».
Наиболее вероятными путями физического проникновения«нарушителя» в здание являются:
— через двери и окна первого этажа;
— по коммуникационным и техническим проемам подвалаили цокольного этажа;
— с крыши через окна или другие проемы верхнихэтажей;
— путем разрушения ограждений;
— имеются и иные способы, связанные с применениемнарушителем специальных технических средств.
Необходимо максимально предусмотреть физическиепреграды перед нарушителем на пути его движения к материальным и информационнымценностям.
Внутренние переходы, подходы к наиболее важнымпомещениям должны быть оснащены не только средствами охранной сигнализации ителевизионного наблюдения, но и иметь надежную инженерную защиту в видетамбуров с дистанционно управляемыми дверями, решетками, а сами хранилищаценностей — укрепленными перегородками.
Готовясь к преступлению, «нарушитель»,используя легальную возможность посетить учреждение, ходит по некоторым егопомещениям, может тщательно изучить наименее охраняемые места, расположениепостов охраны, действия охранников при проходе сотрудников в различные режимныезоны. В этом случае очень важно разделять потоки клиентов учреждения отсотрудников. Проходы, помещения, где клиенты не обслуживаются, должны иметькодовые замки или средства контроля доступа.
Некоторые подробности режима охраны преступник можетполучить, «разговорив» кого-либо из сотрудников учреждения илиохраны.
Наибольшую опасность представляют сотрудники охраны,вступившие в преступную связь с «нарушителем». От них можно получитьинформацию и о принципах работы аппаратуры охранной сигнализации, ее режимах,«слабых» местах, оптимальных путях проникновения в требуемыепомещения, а в решающий момент они могут отключить отдельные каналы охраннойсигнализации. В связи с этим станционная аппаратура охранной сигнализациидолжна иметь систему документирования, должны протоколироваться дата и времявключения/выключения каналов сигнализации, режимы проверки неисправностиаппаратуры с фиксацией даты и времени происшедшего сбоя, отключения напрофилактику и т.д.
Информация о состоянии охраны на объекте,оптимальных путях движения к требуемому помещению и путях отхода нужна любому«нарушителю», как стремящемуся похитить какой-либо документ,установить подслушивающее устройство, так и «нарушителю»,осуществляющему разбойное нападение или преследующего иные цели.
Исходя из анализа возможных «моделей»нарушителя, способов получения им информации, конкретной архитектуры здания,характеристик территории, прилегающих зданий, рельефа местности и т.д.,вырабатываются требования к инженерной защите, системе охранной сигнализации иразмещению постов. Последнее означает, что для каждого конкретного объекта,здания, помещения должен разрабатываться конкретный проект его оснащенияТСОС-ТСН, СКД с учетом требований «Системной концепции...», дабы недопустить пробелов в системе защиты, которые раньше или позже но будутобнаружены грамотным злоумышленником.
Классификациянарушителей на основе моделей их действий
Разработка моделей нарушителей осуществляется наоснове исследования возможных видов угроз объекту и способов их реализации.
Угрозы могут носить общий или локальный характер иисходить:
— от людей;
— от природных факторов;
— от нарушения систем жизнеобеспечения из-затехногенных факторов, а также угрозы могут носить случайный характер.
При рассмотрении вопросов классификации нарушителейнас интересуют способы реализации угроз, исходящих от людей.
Рассматривают три типа нарушителей — неподготовленный, подготовленный, квалифицированный и две группы способовреализации угроз — контактные, бесконтактные.
Способы проникновения на объект, в его здания ипомещения могут быть самые различные, например:
— разбитие окна, витрины, остекленной двери илидругих остекленных проемов;
— взлом двери, перепиливание дужек замка и другиеспособы проникновения через дверь;
— пролом потолка, подлежащего блокировке;
— пролом капитального потолка, не подлежащегоблокировке;
— пролом стены, подлежащей блокировке;
— пролом капитальной стены, не подлежащейблокировке;
— пролом капитального пола, не подлежащегоблокировке;
— пролом пола, подлежащего блокировке;
— проникновение через разгрузочный люк;
— проникновение через вентиляционное отверстие,дымоход или другие строительные коммуникации;
— проникновение подбором ключей;
— оставление нарушителя на объекте до его закрытия;
— свободный доступ нарушителя на объект в связи свременным нарушением целостности здания из-за влияния природно-техногенныхфакторов или в период проведения ремонта;
— проникновение через ограждение, используя подкоп,перелаз, разрушение, прыжок с шестом и т.д.
Очевидно, что каждый тип нарушителей будетосуществлять проникновение на объект по разному — менее грамотно или болееграмотно, используя различные условия, способствующие проникновению, как то:
— взрыв;
— пожар;
— разбойное нападение;
— наводнение;
— химическое заражение;
— общественные беспорядки;
— отключение электроэнергии на объекте, в районе,городе;
— постановка нарушителем помех ТСО на объекте;
— постановка нарушителем помех в канале связиобъекта с охраной;
— предварительный вывод из строя ТСО на объекте;
— предварительный вывод из строя канала связиобъекта с охраной;
— предварительный сговор нарушителя с персоналомобъекта;
— предварительный сговор нарушителя с персоналомслужбы охраны объекта;
— создание и использование многих и многих другихусловий для проникновения на охраняемый объект, например: использованиедрессированных животных и птиц, специальных технических средств обхода ТСО,специальных технических средств для предварительного изучения объекта и т.д.
Ряд моделей действий нарушителей достаточно широкопредставлены в художественной литературе, кинофильмах, в телепередачах скриминальными сюжетами, в научно-технических изданиях в открытой печати. Такимобразом, потенциальному злоумышленнику вполне доступно повышение квалификациина материалах открытой печати, телепередач и кино. Этот неоспоримый факт,безусловно, должна в своей деятельности учитывать СБ и соответственно строитьтактику охраны учреждения. Очевидно, информация о тактике охраны являетсястрого конфиденциальной, секретной и совершенно секретной.
В зависимости от поставленных целей злоумышленниксоздает те или иные условия для проникновения на объект и в его помещения,пользуясь теми или иными контактными или бесконтактными способамипроникновения.
К контактным способам совершения враждебных действийотносятся:
1. Контактное проникновение на объект охраны:
— несанкционированное проникновение на территорию00;
— проход на основе маскировки;
— установка средств негласного слухового,визуального, электромагнитного и др. наблюдения.
2. Контактное нарушение целостности или характерафункционирования объекта:
— нарушение линий жизнеобеспечения 00;
— физическая ликвидация потенциала 00;
— затруднение штатного режима функционированияобъекта.
К бесконтактным способам совершения враждебныхдействий относятся:
1. Бесконтактные проникновения на объект охраны:
— перехват физических полей;
— контроль радио- и телефонных переговоров;
— визуальное и слуховое наблюдение;
2. Вывод объекта из строя без проникновения на него,как то:
— нарушение целостности объекта посредствомиспользования направленного взрыва или дистанционного оружия;
— отключение линий жизнеобеспечения объекта.
Нарушителем считается лицо, нарушающееконтрольно-пропускной режим, случайно или преднамеренно нарушающее режимбезопасности объекта охраны.
Для описания моделей нарушителей в качествекритериев классификации рассматриваются:
1. Цели и задачи вероятного нарушителя:
— проникновение на охраняемый объект без причиненияобъекту видимого ущерба;
— причинение ущерба объекту;
— освобождение спецконтингента;
— преднамеренное проникновение при отсутствиивраждебных намерений;
— случайное проникновение.
2. Степень принадлежности вероятного нарушителя кобъекту:
— вероятный нарушитель — сотрудник охраны;
— вероятный нарушитель — сотрудник учреждения;
— вероятный нарушитель — посетитель;
— вероятный нарушитель — постороннее лицо.
3. Степень осведомленности вероятного нарушителя обобъекте:
— детальное знание объекта;
— осведомленность о назначении объекта, его внешнихпризнаках и чертах;
— неосведомленный вероятный нарушитель.
4. Степень осведомленности вероятного нарушителя осистеме охраны объекта:
— полная информация о системе охраны объекта;
— информация о системе охраны вообще и о системеохраны конкретного объекта охраны;
— информация о системе охраны вообще, но не осистеме охраны конкретного объекта;
— неосведомленный вероятный нарушитель.
5. Степень профессиональной подготовленностивероятного нарушителя:
— специальная подготовка по преодолению системохраны;
— вероятный нарушитель не имеет специальнойподготовки по преодолению систем охраны.
6. Степень физической подготовленности вероятногонарушителя:
— специальная физическая подготовка;
— низкая физическая подготовка.
7. Владение вероятным нарушителем способамимаскировки:
— вероятный нарушитель владеет способами маскировки;
— вероятный нарушитель не владеет способамимаскировки.
8. Степень технической оснащенности вероятногонарушителя:
— оснащен специальной техникой для преодолениясистемы охраны;
— оснащен стандартной техникой;
— не оснащен техническими приспособлениями.
9. Способ проникновения вероятного нарушителя наобъект:
— использование негативных качеств личного составаохраны объекта;
— «обход» технических средств охраны;
— движение над поверхностью земли;
— движение по поверхности земли.
На основе изложенных критериев можно выделить четырекатегории нарушителя:
— нарушитель первой категории — специальноподготовленный по широкой программе, имеющий достаточный опытнарушитель-профессионал с враждебными намерениями, обладающий специальнымизнаниями и средствами для преодоления различных систем защиты объектов;
— нарушитель второй категории — непрофессиональныйнарушитель с враждебными намерениями, действующий под руководством другогосубъекта, имеющий определенную подготовку для проникновения на конкретныйобъект;
— нарушитель третьей категории — нарушитель безвраждебных намерений, совершающий нарушение безопасности объекта из любопытстваили из каких-то иных личных намерений;
— нарушитель четвертой категории — нарушитель безвраждебных намерений, случайно нарушающий безопасность объекта.
В принципе под моделью нарушителя понимаетсясовокупность количественных и качественных характеристик нарушителя, с учетомкоторых определяются требования к комплексу инженерно-технических средствохраны и/или его составным частям.
Существуют определенные методики количественнойоценки вероятностей обнаружения нарушителя, пытающегося проникнуть на объектохраны. Здесь учитываются гамма параметров, характеризующих категорию важностиобъекта, конфигурацию, архитектуру и тактико-технические характеристикиприменяемых в КТСО ТСОС, ТСН, СКД, а также количественных и качественныххарактеристик нарушителя и возможных моделей его действия.
Вопросы классификацииугроз информационной безопасности
В системе обеспечения безопасности объектов одно изведущих мест занимает обеспечение информационной безопасности. Действительно,любой потенциальный нарушитель до проникновения на объект и проведенияпреступных действий проводит в зависимости от поставленных им конечных целейболее или менее глубокую разведку с тем, чтобы обезопасить себя и выполнитьпоставленную преступную задачу. Поэтому защита от посторонних лиц жизненноважной информации об объекте, а также информации о системе обеспечения охраннойдеятельности является наиболее приоритетной задачей, от успешного решениякоторой зависит уровень эффективности защиты объекта в целом.
Проблемы защиты информации решаются в каждом изблоков задач, рассматриваемых системной концепцией обеспечения комплекснойбезопасности объекта, и в каждом блоке эти проблемы решаются своими способами иметодами, хотя имеются и некоторые общие особенности.
В каждом случае работа СБ начинается с моделированияпотенциальных угроз безопасности информации, их классификации и выбора адекватныхугрозам мер информационной защиты.
Рассмотрим для примера вопросы классификации угрозпри решении проблем обеспечения безопасности автоматизированных системобработки информации, т.е. ПЭВМ, ЛВС, серверов баз данных и т.д. и ихинформационного и программного обеспечения.
В большинстве случаев нарушения по НСД к АСОИисходят от самих сотрудников учреждений. Потери в денежном выражении составляютот них около 70%, остальные потери приходятся на хакеров, террористов и т.п.
Можно выделить три основные причины внутреннихнарушений: безответственность, самоутверждение и корыстный интереспользователей АСОИ. Кроме того существуют угрозы, исходящие от хакеров и иныхнарушителей извне.
Есть опасность нанесения ущерба и не по зломуумыслу, когда сотрудник учреждения, имеющий доступ к базам данных ЛВС или ПЭВМобладает малой квалификацией, невнимателен, недисциплинирован, неряшлив всоблюдении технологии обработки информации или в пользовании программнымипродуктами, либо просто утомлен, омрачен какими-то личными переживаниями, чтотакже приводит к невнимательности. При нарушениях, вызванныхбезответственностью, пользователь целенаправленно или случайно производиткакие-либо разрушающие действия, не связанные тем не менее со злым умыслом. Вбольшинстве случаев это следствие некомпетентности или небрежности.Предусмотреть все такие ситуации маловероятно. Более того, во многих случаяхсистема в принципе не может предотвратить подобные нарушения. Иногда ошибкиподдержки адекватной защищенной среды могут поощрять такого рода нарушения.Система защиты может быть также неправильно настроена.
О самоутверждении.Некоторые пользователи считаютполучение доступа к системным наборам данных крупным успехом, ведя своего родаигру «пользователь — против системы» ради самоутверждения либо всобственных глазах, либо в глазах коллег. Хотя при этом намерения могут быть ибезвредными, эксплуатация ресурсов АСОИ считается нарушением политикибезопасности. Пользователи с «более криминальными намерениями» могутнайти конфиденциальные данные, попытаться испортить или уничтожить их. Такойвид нарушений называется зондированием системы. Большинство систем имеет рядсредств противодействия подобным «шалостям».
Нарушение безопасности АСОИ может быть вызвано икорыстным «злоумышленником». Под «злоумышленником»понимается человек, обладающий достаточными знаниями в вопросахавтоматизированной обработки информации, преследующий цели сознательноговоздействия, направленного на кражу секретной информации о деятельностиучреждения, его планах, процедурах проведения операций, организации системыохраны и т.д., т.е. той информации, которая позволит злоумышленнику в концеконцов осуществить кражу средств, материальных или финансовых, или дезорганизоватьдеятельность учреждения. В этом случае он целенаправленно пытается преодолетьсистему защиты от несанкционированного доступа к хранимой, передаваемой иобрабатываемой в АСОИ информации. Полностью защититься от таких проникновенийпрактически невозможно. В какой-то мере утешает лишь то, что опаснейшиенарушения встречаются крайне редко, ибо требуют необычайного мастерства иупорства от злоумышленника, и его злонамеренное действие при грамотноорганизованной системе контроля может быть обнаружено, т.е. вероятностьпроведения таких акций против АСОИ может быть существенно снижена.
Приведем некоторые данные о количестве и объемеугроз для безопасности со стороны корыстных злоумышленников.
Итальянские психологи утверждают, что из всехслужащих любой фирмы 25% — это честные люди, 25% — ожидают удобного случая дляразглашения секретов и 50% будут действовать в зависимости от обстоятельств.
В 1994 г. трое репортеров лондонской газеты«Санди Тайме» провели эксперимент. Представляясь бизнесменами, онивышли на двадцать депутатов британского парламента с предложением направить вправительство запрос, в котором они заинтересованы, и получить за это наличнымиили чеком тысячу фунтов стерлингов. Из двадцати 17 сразу отказались, троесогласились. Аналогичные эксперименты проводила ФБР в начале 80-х гг.: агентыФБР под видом арабских шейхов обращались к членам американского конгресса,предлагая им вознаграждение в десятки тысяч долларов за то, чтобы«шейхам» были устроены всякие поблажки.
Если эти закономерности перенести, например, набанковских служащих, то более чем от 10% персонала можно ожидать неприятностей,связанных с продажей секретной информации.
Очевидно, ущерб от каждого вида нарушений зависит отчастоты их появления и ценности информации. Чаще всего встречаются нарушения,вызванные халатностью и безответственностью, но ущерб от них обычнонезначителен и легко восполняется. Например, во многих системах существуютсредства, позволяющие восстанавливать случайно уничтоженные наборы данных приусловии, что ошибка сразу же обнаружена. Регулярное архивирование рабочихфайлов данных, имеющих важное значение, позволяет существенно уменьшить ущербот их потери.
Ущерб от зондирования системы может быть гораздобольше, но и вероятность его во много раз ниже, ибо для таких действийнеобходимы достаточно высокая квалификация, отличное знание системы защиты иопределенные психологические особенности. Наиболее характерным результатомзондирования системы является блокировка: пользователь вводит АСОИ в состояниенеразрешимого противоречия, после чего операторы и системные программистытратят много времени для восстановления работоспособности системы. К примеру, вскандальной истории с вирусом Морриса в сети Internet, бывшей результатом зондирования системы, ущербисчислялся миллионами долларов.
Отличительной чертой проникновений, наиболее редких,но и наиболее опасных нарушений, обычно является определенная цель: доступ копределенной информации, влияние на работоспособность системы, слежение задействиями других пользователей и др. Для осуществления подобных действийнарушитель должен обладать теми же качествами, что и для зондирования системы,только в усиленном варианте, а также иметь точно сформулированную цель. Ущербот проникновений может оказаться в принципе невосполнимым. Например, для банковэто может быть полная или частичная модификация счетов с уничтожением журналатранзакций, т.е. если с какого-то счета сняты деньги, то они должны бытьзаписаны в другом счете.
Причины, побуждающие пользователя совершать нарушенияили даже преступления, различны. Наиболее серьезный ущерб системе угрожает вслучае умышленного воздействия из-за обиды, неудовлетворенности своим служебными/или материальным положением, или по указанию других лиц, под угрозой шантажа.Шантаж, как одно из средств нелегального доступа к ценной информации,используется преступными организациями, проводящими для этого специальныемероприятия по дискредитации ответственных работников учреждения. Ущерб приэтом тем больше, чем выше положение пользователя в служебной иерархии.
Способы предотвращения ущерба в этом случае вытекаютиз природы причин нарушений и преступлений. Это — соответствующая подготовкапользователей, поддержание здорового рабочего климата в коллективе, подборперсонала, своевременное обнаружение потенциальных злоумышленников и принятиесоответствующих мер. Ясно, что это не только задачи администрации и детективнойгруппы, но и коллектива в целом. Сочетание этих мер способно предотвратить самипричины нарушений и преступлений.
Таким образом, наиболее уязвимым с позицииобеспечения безопасности может стать «человеческий фактор», т.е.недисциплинированность сотрудников, недостаточный профессионализм, возможностьподкупа, шантажа, угроз насилия, обиды по поводу неадекватной оценки труда имногое другое. Более детальное описание методов противодействия такого родаугрозам изложены, например, в. Отметим лишь, что коль скоро такие угрозысуществуют, следует рекомендовать проведение соответствующих тщательныхисследований детективной группой, отделом кадров и администрацией спривлечением профессиональных психологов, психоаналитиков, педагогов исоответствующих технических средств.
Очевидно, что для выбора оптимального вариантанейтрализации действий злоумышленника из известных методов, способов и средствпротиводействия нужно знать, что собой представляют возможные нарушения излоумышленник, т.е. нужны модели нарушений, «модель» нарушителя или«модель» его возможных действий. Исследование моделей нарушителейявляется отправной идеей в разработке стратегии и тактики обеспечениябезопасности АСОИ. В самом деле, для выбора средств защиты нужно яснопредставлять, от кого защищать АСОИ.
Например, возможен такой подход: на основедоступности компонентов программного и информационного обеспечения в табл.1.1представлены типы угроз и лица, которые могли бы вызвать такие угрозы.
При создании модели нарушителя и оценке риска потерьот действий персонала дифференцируют всех сотрудников по их возможностямдоступа к системе и, следовательно, по потенциальному ущербу от каждойкатегории пользователей. Например, оператор или программист автоматизированнойбанковской системы может нанести несравненно больший ущерб, чем обычныйпользователь, тем более непрофессионал.
/>
Приведем примерный список персонала типичной АСОИ исоответствующую степень риска от каждого из них:
1. Наибольший риск:
— системный контролер;
— администратор безопасности.
2. Повышенный риск:
— оператор системы;
— оператор ввода и подготовки данных;
— менеджер обработки;
— системный программист.
3. Средний риск:
— инженер системы;
— менеджер программного обеспечения.
4. Ограниченный риск:
— прикладной программист;
— инженер или оператор по связи;
— администратор баз данных;
— инженер по оборудованию;
— оператор периферийного оборудования;
— библиотекарь системных магнитных носителей;
— пользователь-программист;
— пользователь-операционист.
5. Низкий риск:
— инженер по периферийному оборудованию;
— библиотекарь магнитных носителей пользователей.
Итак, при проектировании системы защиты АСОИ следуетуделять внимание не только возможным объектам нарушений, но и вероятнымнарушителям как личностям. Многолетний опыт функционирования тысяч АСОИсвидетельствует, что совершаемые без причины, а в силу случайных обстоятельствпреступления очень редки.
На основе изложенных пояснений сути рассматриваемойпроблемы моделирования угроз, нарушителей и их действий можно предложитьследующий подход к классификации угроз безопасности АСОИ.
Отметим, что попытки дать исчерпывающуюклассификацию угроз безопасности АСОИ предпринимались неоднократно, однакосписок их постоянно расширяется, и потому в данном учебном пособии выделим лишьосновные их типы.
Проводимая ниже классификация охватывает толькоумышленные угрозы безопасности АСОИ, оставляя в стороне такие воздействия какстихийные бедствия, сбои и отказы оборудования и др. Реализацию угрозы принятоназывать атакой.
Угрозы безопасности можно классифицировать последующим признакам:
1. По цели реализации угрозы. Атака может преследовать следующие цели:
— нарушение конфиденциальности информации;
— нарушение целостности информации;
— нарушение работоспособности АСОИ. Такие нарушениямогут повлечь за собой неверные результаты, отказы от обработки потокаинформации или отказы при обслуживании.
2. По принципу воздействия на АСОИ:
— с использованием доступа субъекта системы кобъекту;
— с использованием скрытых каналов.
Субъектом доступа называется лицо или процесс,действия которого регламентируются правилами разграничения доступа, а объектомдоступа — единица информационного ресурса АСОИ, доступ к которойрегламентируется правилами разграничения доступа.
Под доступом понимается взаимодействие междусубъектом и объектом, приводящее к возникновению информационного потока от второгок первому.
Под скрытым каналом понимается путь передачиинформации, позволяющий двум взаимосвязанным процессам обмениваться информациейтаким способом, который нарушает системную политику безопасности. Скрытыеканалы бывают двух видов:
— скрытые каналы с памятью, позволяющие осуществлятьчтение или запись информации другого процесса непосредственно или с помощьюпромежуточных объектов для хранения информации;
— скрытые временные каналы, при которых один процессможет получать информацию о действиях другого, используя интервалы междукакими-либо событиями.
3.По характеру воздействия на АСОИ. Различают активное и пассивное воздействие.
Первое всегда связано с выполнением пользователемкаких-либо действий, выходящих за рамки его обязанностей и нарушающихсуществующую политику безопасности. Это может быть доступ к наборам данных,программам, вскрытие пароля и т.д.
Пассивное воздействие осуществляется путемнаблюдения пользователем каких-либо побочных эффектов и их анализа. Пример — прослушивание линии связи между двумя узлами сети. Пассивное воздействие всегдасвязано только с нарушением конфиденциальности информации в АСОИ, так как принем никаких действий с объектами и субъектами не производится.
4. По факту наличия возможной для использованияошибки защиты. Реализация любойугрозы возможна только в том случае, если в данной конкретной системе естькакая-либо ошибка или брешь защиты.
Такая ошибка может быть обусловлена одной изследующих причин:
— неадекватностью политики безопасности реальнойАСОИ. В той или иной степени несоответствия такого рода имеют все системы, но водних случаях это может привести к нарушениям, а в других — нет. Если выявленаопасность такого несоответствия, необходимо усовершенствовать политикубезопасности, изменив соответственно средства защиты;
— ошибками административного управления, подкоторыми понимают некорректную реализацию или поддержку принятой политикибезопасности в данной АСОИ. Пусть, например, согласно политике безопасности вАСОИ должен быть запрещен доступ пользователей к некоторому определенномунабору данных, а на самом деле этот набор данных доступен всем пользователям.Обнаружение и исправление такой ошибки требуют обычно небольшого времени, тогдакак ущерб от нее может быть огромен;
— ошибками в алгоритмах программ, в связях междуними и т.д., которые возникают на этапе проектирования программ или комплексапрограмм и из-за которых эти программы могут быть использованы совсем не так,как описано в документации. Такие ошибки могут быть очень опасны, к тому же их труднонайти, а для устранения надо менять программу или комплекс программ;
— ошибками реализации алгоритмов программ, связеймежду ними и т.д., которые возникают на этапах реализации, отладки и могутслужить источником недокументированных свойств.
5. По способу воздействия на объект атаки:
— непосредственное воздействие на объект атаки,например, непосредственный доступ к набору данных, программе, службе, каналусвязи и т.д., воспользовавшись какой-либо ошибкой. Такие действия обычно легкопредотвратить с помощью средств контроля доступа;
— воздействие на систему разрешений. При этомнесанкционированные действия выполняются относительно прав пользователей наобъект атаки, а сам доступ к объекту осуществляется потом законным образом;
— опосредованное воздействие:
— «маскарад». В этом случае пользовательприсваивает себе каким-либо образом полномочия другого пользователя, выдаваясебя за него;
— «использование вслепую». При такомспособе один пользователь заставляет другого выполнить необходимые действия,причем последний о них может и не подозревать. Для реализации этой угрозы можетиспользоваться вирус.
Два последних способа очень опасны. Дляпредотвращения подобных действий требуется постоянный контроль как со стороныадминистраторов и операторов за работой АСОИ в целом, так и со стороныпользователей за своими собственными наборами данных.
6.По способу воздействия на АСОИ:
— в интерактивном режиме;
— в пакетном режиме.
Работая с системой, пользователь всегда имеет дело скакой-либо ее программой. Одни программы составлены так, что пользователь можетоперативно воздействовать на ход их выполнения, вводя различные команды илиданные, а другие так, что всю информацию приходится задавать заранее. К первымотносятся, например, некоторые утилиты, управляющие программы баз данных, восновном — это программы, ориентированные на работу с пользователем. Ко вторымотносятся в основном системные и прикладные программы, ориентированные навыполнение каких-либо строго определенных действий без участия пользователя.
При использовании программ первого классавоздействие оказывается более длительным по времени и, следовательно, имеетболее высокую вероятность обнаружения, но более гибким, позволяющим оперативноменять порядок действий. Воздействие с помощью программ второго класса являетсякратковременным, трудно диагностируемым, гораздо более опасным, но требуетбольшой предварительной подготовки для того, чтобы заранее предусмотреть всевозможные последствия вмешательства.
7.По объекту атаки. Объект атаки — это тот компонент АСОИ, которыйподвергается воздействию со стороны злоумышленника. Воздействию могутподвергаться следующие компоненты АСОИ:
— АСОИ в целом: злоумышленник пытается проникнуть всистему для последующего выполнения каких-либо несанкционированных действий.Используют обычно «маскарад», перехват или подделку пароля, взлом илидоступ к АСОИ через сеть;
— объекты АСОИ — данные или программы в оперативнойпамяти или на внешних носителях, сами устройства системы, как внешние, так ивнутренние, каналы передачи данных. Воздействие на объекты системы обычно имеетцелью доступ к их содержимому или нарушение их функциональности;
— субъекты АСОИ — процессы и подпроцессыпользователей. Целью таких атак является либо прямое воздействие на работупроцессора — его приостановка, изменение характеристик, либо обратноевоздействие — использование злоумышленником привилегий, характеристик другогопроцесса в своих целях. Воздействие может оказываться на процессыпользователей, системы, сети;
— каналы передачи данных. Воздействие на пакетыданных, передаваемые по каналу связи, может рассматриваться как атака наобъекты сети, а воздействие на сами каналы — как специфический род атак,характерный для сети. К последним относятся: прослушивание канала и анализграфика; подмена или модификация сообщений в каналах связи и наузлах-ретрансляторах; изменение топологии и характеристик сети, правилкоммутации и адресации.
8.По используемым средствам атаки. Для воздействия на систему злоумышленник можетиспользовать стандартное программное обеспечение или специально разработанныепрограммы. В первом случае результаты воздействия обычно предсказуемы, так какбольшинство стандартных программ АСОИ хорошо изучены. Использование специальноразработанных программ связано с большими трудностями, но может быть болееопасным, поэтому в защищенных системах рекомендуется не допускать добавленияпрограмм в АСОИ без разрешения администратора безопасности системы.
9. По состоянию объекта атаки. Состояние объекта в момент атаки весьма существеннодля результатов атаки и содержания работы по ликвидации ее последствий.
Объект атаки может находиться в одном из трехсостояний:
— хранения на диске, магнитной ленте, в оперативнойпамяти или в любом другом месте в пассивном состоянии. При этом воздействие наобъект обычно осуществляется с использованием доступа;
— передачи по линии связи между узлами сети иливнутри узла, Воздействие предполагает либо доступ к фрагментам передаваемойинформации, либо просто прослушивание с использованием скрытых каналов;
— обработки в тех ситуациях, когда объектом атакиявляется процесс пользователя.
Приведенная классификация показывает сложностьопределения возможных угроз и способов их реализации.
Более подробно распространенные угрозы безопасностиАСОИ рассмотрены, например, в.
В связи с тем, что универсального способа защиты,который мог бы предотвратить любую угрозу, не существует, для обеспечениябезопасности АСОИ в целом создают защитную систему, объединяя в ней различныемеры защиты.
Изложенный далеко не полно пример решения проблемыклассификации угроз информационной безопасности АСОИ убеждает в необходимостипроведения глубоких исследований при решении аналогичных проблем в контуре всехиных блоков задач «Системной концепции...».