Вторая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. Классификация УГРОЗ БЕЗОПАСНОСТИ

2.1. Общий подход к определению потенциальных угроз в АС

При определении потенциальных угроз безопасности в АС учитывались структурно-функциональные характеристики данной автоматизированной системы, включающие в себя:

• структуру;
• состав;
• физические, логические, функциональные и технологические взаимосвязи между сегментами (компонентами) системы;
• информационные связи с иными информационными системами и информационно-телекоммуникационными сетями;
• режимы обработки информации;
• иные характеристики, применяемых в системе информационных технологий.

Целью моделирования угроз безопасности конфиденциальных сведений являлось получение качественной оценки потенциальных угроз информации, обрабатываемой в АС.

Идентификация потенциальных угроз безопасности конфиденциальных сведений осуществлялась по результатам:

• оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей;
• анализа возможных уязвимостей;
• возможных методов реализации угроз безопасности информации;
• последствий от нарушения таких свойств безопасности информации, как конфиденциальность, целостность, доступности.

В качестве исходных данных использовались результаты классификации источников угроз, уязвимостей, методов реализации, а также оценки совокупности условий и факторов, создающих опасность, связанную с проявлением угроз безопасности конфиденциальных сведений, пульсирующих в АС.

Выявление угроз, реализуемых с применением программных и программно-технических средств, осуществлялось на основе экспертного метода, в том числе учитывались данных, полученных путем проведения обследования процессов функционирования данной системы.

В основу оценки потенциальной возможности той или иной угрозы безопасности информации было положено правило – «Наличие источника угрозы и используемой им уязвимости свидетельствует о наличии угрозы безопасности информации как таковой».

На основе экспертного метода, проведен анализ и сформирован перечень потенциальных угроз, проявление которых возможно в процессах функционирования АС.

Исходя из результатов оценки критичности защищаемых информационных ресурсов (объектов защиты) потенциальными угрозами безопасности информации должны считаются те угрозы, парирование который определяется возможностями источника угрозы (нарушителя), обладающего возможностями нападения по использованию той или иной уязвимости, имеющей место в АС.

Данное правило определяет перечень потенциальных угроз безопасности Конфиденциальных сведений в АС.

2.2. Классификация угроз безопасности

К характеристикам АС, обуславливающим возникновение угроз безопасности, были отнесены:

• значимость Конфиденциальных сведений и иной информации, необходимость обеспечения конфиденциальности, целостности и доступности обеспечивает отсутствие предпосылок к реализации угроз, направленных непосредственно на обрабатываемые в АС Конфиденциальных сведений;
• организационная, физической и логической структура АС;
• технологии и средства подключений к сетям связи общего пользования;
• применяемые меры защиты;
• режимы обработки информации;
• режимы разграничения прав доступа;
• состав и возможности используемых программных и программно-технических средств, а также их местонахождение и условия размещения.

При оценке проявлений угроз безопасности в АС применялся следующий подход.

Возможности источников угроз оценивались по имеющим место в АС уязвимостям, наличием условий и методов их использования для реализации той или иной угрозы нарушения конфиденциальности (копирование, неправомерное распространение), целостности (изменение) и доступности (блокирование, уничтожение) Конфиденциальных сведений и иной необходимой для их защиты информации, а в ряде случаев и возможности по созданию предпосылок (условий) для реализации угроз.

В качестве основных элементов, определяющих угрозу безопасности информации, рассматривались:

• носитель информации: физическое лицо или материальный объект, в том числе физическое поле, в котором информация находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
• источник угроз: субъект, материальный объект или физическое явление, создающие угрозы безопасности;
• уязвимость: свойство объекта информационной системы, среда (путь) распространения или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) информации;
• метод реализации угроз.

В качестве базовых признаков, определяющих формы представления информации, рассматривались:

• акустическая (речевая) информация, содержащаяся непосредственно в произносимой речи пользователя, а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счет преобразований акустической информации;
• видовая информация, представленная в виде текста и изображений различных устройств отображения информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео и буквенно-цифровой информации;
• информация, обрабатываемая (циркулирующая), в виде электрических, электромагнитных, оптических сигналов;
• информация, обрабатываемая в АС, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур.

В целях формирования систематизированного перечня угроз безопасности все угрозы, рассмотренные в ходе моделирования, характеризовались:

1. По видам потенциальных источников угроз:

• угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющими доступ к информационным ресурсам АС, включая пользователей, реализующие угрозы непосредственно в границах контролируемой зоны (внутренний нарушитель);
• угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ресурсам АС, и реализующих угрозы из внешних сетей связи общего пользования и/или сетей международного информационного обмена (внешний нарушитель).

2. По виду несанкционированных действий:

• угрозы, приводящие к нарушению конфиденциальности (копированию или несанкционированному распространению), при реализации которых не осуществляется непосредственного воздействия на содержание конфиденциальных сведений и иной защищаемой информации (угрозы «Хищение» и «Утрата»);
• угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение конфиденциальных сведений и иной защищаемой информации (угрозы «Отрицание подлинности», «Модификация», «Навязывание ложной информации»);
• угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные компоненты АС, в результате которого осуществляется блокирование конфиденциальных сведений и иной защищаемой информации и/или их уничтожение (угрозы «Блокирование», «Уничтожение»).

3. По видам каналов реализации угроз:

• угрозы, реализуемые через каналы, возникающие за счет использования технических средств съема (добывания) информации с основных технических средств и систем (ОТСС) и/или вспомогательных технических средств и систем (ВТСС) (технические каналы утечки информации);
• угрозы, реализуемые за счет несанкционированного доступа к информации с использованием штатного программного обеспечения и/или специально разрабатываемого программного обеспечения (угрозы НСД);
• угрозы, реализуемые за счет проявлений стихийных и иных природных катаклизмов.

4. По уровню последствий реализации угроз:

• существенные негативные последствия проявления угроз, как результат их влияния на все основные процессы функционирования системы;
• негативные последствия проявления угроз, как результат их влияния на отдельные основные процессы функционирования системы;
• незначительные негативные последствия проявления угроз, как результат их несущественного влияния на ряд процедур основных процессов функционирования;
• негативные последствия отсутствуют, т.е. проявления негативных последствий проявления угроз не влияют на функционирование системы.

2.3. Классификация источников угроз, уязвимостей и методов реализации угроз

Формирование потенциальных каналов реализации угроз, как совокупности связей – «источник угрозы» — «уязвимость»- «метод реализации», использовалась следующая классификация.

2.3.1. Классификация источников угроз безопасности информации

Все источники угроз делятся на классы, обусловленные их типом:

• антропогенные (обусловленные действиями субъекта доступа);
• техногенные (обусловленные техническими средствами);
• стихийные (обусловленные природными явлениями).
• Антропогенные источники угроз

Данный класс наиболее обширен и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта доступа всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от результатов оценки рисков проявления угроз.

К антропогенным источникам угроз относятся субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления.

Источники угроз, действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.

Как правило, в качестве антропогенных источников угроз безопасности информации выступают нарушители, как внутренние, так и внешние.

К категории внешних нарушителей отнесены следующие субъекты доступа: неустановленные внешние субъекты (физические лица); бывшие работники (пользователи); террористические и экстремистские группировки; преступные группы (криминальные структуры); конкурирующие организации; разработчики, производители, поставщики программных, технических и программных и программно-технических средств.

К категории внутренних нарушителей безопасности информации в АС отнесены следующие субъекты доступа: Лица, обеспечивающие функционирование информационных систем или обслуживающих инфраструктуру оператора (администрация, охрана, уборщики и т.д.); Лица, привлекаемые для установки, наладки, монтажа, пуско-наладочных и иных работ; Пользователи информационной системы; Администраторы информационной системы и администраторы безопасности.

При оценке возможностей потенциальных нарушителей особое внимание уделялось внутренним нарушителям из числа специалистов в области информационных технологий, знакомых со спецификой решаемых в системе задач, ее структурой, функциями и принципами работы программно-аппаратных средств защиты информации, используемого оборудования и технических средств.

Более детально возможности потенциальных нарушителей представлены в разделе 4.

• Техногенные источники угроз

Данная группа содержит источники угроз менее прогнозируемые, напрямую зависящие от свойств используемого оборудования и программного обеспечения. Технические средства, являющиеся источниками потенциальных угроз, так же, как и антропогенные источники угроз, могут быть внешними:

• средства связи и передачи данных;
• сети инженерных коммуникаций (водоснабжения, канализации),

так и внутренними:

• некачественные технические средства обработки информации;
• некачественные программные средства обработки информации;
• вспомогательные средства (охраны, сигнализации, телефонии);
• другие технические средства, применяемые в АС.
• Стихийные источники угроз

Класс стихийных источников угроз составляют проявления природного характера, которые как правило не поддаются или трудно поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда. Стихийные источники угроз, как правило, являются внешними по отношению к рассматриваемой АС. Под ними понимаются:

• пожары;
• землетрясения;
• наводнения;
• ураганы;
• различные непредвиденные обстоятельства;
• необъяснимые явления;
• другие форс-мажорные обстоятельства.

2.3.2. Классификация уязвимостей

Угрозы безопасности конфиденциальных сведений и иной защищаемой в АС, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (причины), приводящие к нарушению безопасности информации на конкретном объекте информатизации.

Уязвимости как свойства АС неотделимы от нее и обуславливаются недостатками (особенностями) процессов функционирования, свойствами архитектуры (используемых информационных технологий), протоколами обмена и интерфейсами программного обеспечения и аппаратных платформ, условиями их эксплуатации и расположения.

Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.

Для удобства анализа, уязвимости разделены на классы по принадлежности к формам проявления:

1. Объективные уязвимости:

• сопутствующие техническим средствам излучения;
• активируемые;
• определяемые особенностями элементов (компонентами) АС;
• определяемые особенностями инженерных коммуникаций.

2. Субъективные уязвимости:

• ошибки (халатность);
• нарушения;
• психогенные.

3. Случайные уязвимости:

• сбои и отказы;
• косвенные причины.
• Объективные уязвимости

Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого в АС. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации.

К ним можно отнести:

1. Сопутствующие техническим средствам излучения:

• электромагнитные (побочные излучения элементов технических средств, кабельных линий технических средств, излучения на частотах работы генераторов, на частотах самовозбуждения усилителей);
• электрические (наводки электромагнитных излучений на линии и проводниках, просачивание сигналов в цепи электропи­тания, в цепи заземления, неравномерность потребления тока электропитания);
• звуковые (акустические, виброакустические).

2. Активируемые:

• аппаратные закладки (устанавливаемые в телефонные линии, в сети электропитания, в помещениях, в технических средствах);
• программные закладки (вредоносные программы, технологические выходы из программ, нелегальные копии ПО).

3. Определяемые особенностями элементов:

• элементы, обладающие электроакустическими преобразованиями (телефонные аппараты, громкоговорители и микрофоны, катушки индуктивности, дроссели, трансформаторы и пр.);
• элементы, подверженные воздействию электромагнитного поля (магнитные носители, микросхемы, нелинейные элементы, подверженные ВЧ навязыванию).

4. Определяемые особенностями защищаемого объекта:

• местоположением оборудования АС (отсутствие контролируемой зоны, наличие прямой видимости устройств ввода-вывода информации и мест хранения документов в открытом виде, удаленных и мобильных элементов объекта, вибрирующих отражающих поверхностей);
• организацией каналов обмена информацией (использование радиоканалов, глобальных информационных сетей, арендуемых каналов).
• Субъективные уязвимости

Субъективные уязвимости зависят от действий субъектов доступа (антропогенных источников угроз), в основном, устраняются организационными и программно-аппаратными методами.

К ним относятся:

1. Ошибки:

• при подготовке и использовании программного обеспечения (при разработке алгоритмов и ПО, инсталляции и загрузке ПО, эксплуатации ПО, вводе данных);
• при управлении сложными системами (при использовании возможностей самообучения систем, настройке сервисов универсальных систем, организации управления потоками обмена информации);
• при эксплуатации технических средств (при включении/выключении технических средств, использовании технических средств охраны, использовании средств обмена информацией).

2. Нарушения:

• режима охраны и защиты (доступа на объект, доступа к техническим средствам);
• режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения);
• режима использования информации (обработки и обмена информацией, хранения и уничтожения носителей информации, уничтожения производственных отходов и брака);
• режима конфиденциальности (сотрудниками в нерабочее время, уволенными сотрудниками).
• Случайные уязвимости

Случайные уязвимости зависят от особенностей среды функционирования АС и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной безопасности:

1. Сбои и отказы:

• отказы и неисправности технических средств (обрабатывающих информацию, обеспечивающих работоспособность средств обработки информации, обеспечивающих охрану и контроль доступа);
• старение и размагничивание носителей информации (дискет и съемных носителей, жестких дисков, элементов микросхем, кабелей и соединительных линий);
• сбои программного обеспечения (ОС и СУБД, прикладных программ, сервисных программ, антивирусных программ);
• сбои электроснабжения (оборудования, обрабатывающего информацию, обеспечивающего и вспомогательного оборудования).

2. Повреждения:

• жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации, кондиционирования и вентиляции);
• ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий, корпусов технологического оборудования).

2.3.3. Классификация методов реализации угроз

При классификации методов реализации угроз учитывалось, что понятие «метод» применимо только при рассмотрении угроз, в которых в качестве источников выступают антропогенные источники. Для техногенных и стихийных источников угроз понятие «метод» переходит в «деструктивное воздействие».

В качестве методов реализации угроз рассматривались:

• активные аналитические методы;
• пассивные аналитические методы;
• активные технические методы;
• пассивные технические методы;
• активные программно-аппаратные методы;
• пассивные программно-аппаратные методы;
• активные социальные методы;
• активные организационные методы.

Общий перечень методов реализации угроз представлен в таблице 3.

Таблица 3 — Общий перечень методов реализации угроз

Методы и предпосылки реализации угроз	Возможные последствия
1.            Аналитические методы
1.1.      Активные аналитические методы
Опрос в ходе публичных мероприятий (конференции и пр.)	нарушение конфиденциальности путем прямого получения конфиденциальной информации
Опрос бывших (уволенных) сотрудников	нарушение конфиденциальности путем прямого получения конфиденциальной информации. Получение информации о номерах телефонов, IP адресах пользователей и подсетей, открытых серверах, сетевой инфраструктуре и др. информации для дальнейшей реализации угроз
Проведение мнимых переговоров	нарушение конфиденциальности путем прямого получения конфиденциальной информации. Получение информации о номерах телефонов, IP адресах, открытых серверах, сетевой инфраструктуре и др. информации для дальнейшей реализации угроз
Сканирование и инвентаризация СВТ	определение функций, способа представления информации, типа и параметров и версий ПО, носителей информации, идентификация СВТ, СЗИ, СКЗИ, идентификация учетных записей пользователей, используемых сервисов и служб, поиск совместно используемых ресурсов, открытых портов, незашифрованных паролей для дальнейшей реализации угроз
1.2.      Пассивные аналитические методы
Анализ информации из СМИ, глобальных информационных систем, выступлений руководителей	получение информации о номерах телефонов, IP адресах пользователей и подсетей, открытых серверах, сетевой инфраструктуре, дефектах (уязвимостей) ПО, оборудования, нарушениях при эксплуатации оборудования, инструментарии для дальнейшей реализации угроз.
Агрегирование и инференция открытой информации	нарушение конфиденциальности путем прямого получения конфиденциальной информации.
2.            Технические методы
2.1.      Активные технические методы
Мониторинг (наблюдение) активности каналов связи	получение информации о номерах телефонов, IP адресах пользователей и подсетей, каналах связи, открытых серверах, сетевой инфраструктуре, выявление наиболее уязвимых мест для дальнейшей реализации угроз.
Электромагнитное воздействие	нарушение целостности и доступности информации при передаче по каналам связи, нарушение нормальной работы технических устройств, носителей информации.
Создание условий для сбоев и отказов оборудования и ПО	нарушение целостности и доступности информации при передаче по каналам связи, нарушение нормальной работы технических устройств, носителей информации.
2.2.      Пассивные технические методы
Визуально-оптическое наблюдение и фотографирование	нарушение конфиденциальности путем прямого получения конфиденциальной информации.
Перехват акустических и виброакустических сигналов	нарушение конфиденциальности путем прямого получения конфиденциальной информации.
Перехват информации в кабельных линиях связи	нарушение конфиденциальности путем прямого получения конфиденциальной информации.
Перехват ПЭМИ от технических средств	нарушение конфиденциальности путем прямого получения конфиденциальной информации.
Перехват оптоэлектронных сигналов	нарушение конфиденциальности путем прямого получения конфиденциальной информации.
3.            Программно-аппаратные методы
3.1.         Активные программно-аппаратные методы
Внедрение дезинформации	нарушение целостности и доступности путем введения ложной информации в базы данных  и информационные ресурсы, перегрузки системных ресурсов, каналов связи.
Загрузка нештатной ОС и ПО	создание условий для дальнейшей реализации угроз, отключение механизмов защиты, копирование информации.
Изменение конфигурации СВТ и используемых сервисов	отключение механизмов защиты, изменение полномочий пользователей отключение/включение сервисов, перенаправление информации, введение запрета на использование информации для дальнейшей реализации угроз.
Маскировка под авторизованного пользователя (маскарад)	нарушение конфиденциальности и целостности путем использования полномочий авторизованных пользователей по чтению и изменению информации.
Модификация информации (данных)	нарушение целостности путем модификации информации в базах данных и в информационных ресурсах.
Модификация ПО и/или его настроек	создание условий дальнейшей реализации угроз.
Несанкционированное изменение полномочий	нарушение конфиденциальности и целостности путем изменения (превышения) полномочий авторизованных пользователей по чтению и изменению информации.
Перехват управления соединениями	нарушение доступности и конфиденциальности путем стороннего управления активным сеансом.
Перехват управления функциями администрирования	нарушение конфиденциальности, целостности и доступности путем уничтожения, модификации информации, перегрузки системных ресурсов,  нарушения нормальной работы
Применение вредоносных программ	нарушение конфиденциальности, целостности и доступности путем уничтожения, модификации информации, перезагрузки системных ресурсов, нарушения нормальной работы технических средств и ПО, физического разрушения технических средств и носителей информации, влияния на персонал ИС, накопления и перенаправления информации по скрытым каналам, введения запрета на использование информации, монопольный захват системных ресурсов.
Применение отладочных режимов	Изучение и отключение механизмов защиты, создание предпосылок и условий дальнейшей реализации угроз.
Сканирование и модификация журналов регистрации	сокрытие следов несанкционированных действий после реализации угроз.
Интенсивное обращение к ресурсам и каналам связи	нарушение доступности путем перегрузки сетевых ресурсов  и каналов связи.
3.2.         Пассивные программно-аппаратные методы
Наблюдение за активностью работы СВТ	определение функций, способа представления информации, функций идентификации пользователей, используемых сервисов и служб, перехват незашифрованных паролей для дальнейшей реализации угроз.
Установка нештатного оборудования или ПО	создание предпосылок и условий дальнейшей реализации угроз.
Чтение, копирование информации	нарушение конфиденциальности путем прямого получения конфиденциальной информации. Получение паролей доступа, списков управления доступом, таблицы маршрутизации, информации о адресном пространстве, архитектуре сети, структуре информационных процессов для дальнейшей реализации угроз.
4.            Социальные методы
4.1.       Активные социальные методы (методы социального инжиниринга)
Вербовка, подкуп или шантаж персонала	нарушение конфиденциальности, целостности и доступности путем прямого получения конфиденциальной информации (данных), склонения к уничтожению, модификации информации, ПО. Получение информации о номерах телефонов и IP пользователей, адресах подсетей, архитектуре сети, открытых серверах, структуре организации, дефектах ПО, оборудования, нарушениях при эксплуатации оборудования, инструментарии для дальнейшей реализации угроз.
Вхождение в доверие	нарушение конфиденциальности путем прямого получения конфиденциальной информации. Получение информации о номерах телефонов и IP пользователей, адресах подсетей, архитектуре сети, открытых серверах, структуре организации, дефектах ПО, оборудования, нарушениях при эксплуатации оборудования, инструментарии для дальнейшей реализации угроз.
Разжигание вражды	создание предпосылок и условий для дальнейшей реализации угроз.
Террористические методы (поджег, взрыв, уничтожение)	нарушение целостности и доступности путем уничтожения технических средств, носителей информации, ПО, каналов и линий связи.
5.            Организационные методы
5.1.       Активные организационные методы
Доступ к носителям информации, техническим средствам	нарушение конфиденциальности, целостности и доступности путем получения носителей информации, уничтожения технических средств и носителей информации, модификации информации, ПО.
Подделка документов	создание предпосылок и условий для дальнейшей реализации угроз.
Разрушение коммуникаций	нарушение целостности и доступности, путем нарушения нормальной работы технических и программно-технических средств, каналов и линий связи.

В случае, когда целью реализации угрозы является создание новых источников угроз или уязвимостей. Например, внедрение вируса, программной закладки, и т.д., то данная форма проявления угрозы рассматривается как предпосылка.