Основы информационной безопасности

Документ определяет порядок использования шифровальных средств. Запрещается использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не

имеющих сертификата ФСБ России, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие соответствующего сертификата.

Центральному банку России указывается принять необходимые меры в отношении коммерческих банков РФ, уклоняющихся от обязательного использования имеющих сертификат ФСБ России защищенных технических средств хранения, обработки и передачи информации при их информационном взаимодействии с подразделениями

Центрального банка России.

В интересах информационной безопасности РФ и усиления борьбы с организованной преступностью запрещается деятельность юридических и физических лиц, связанная с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных ФСБ России.

Федеральной таможенной службе Российской Федерации указывается принять меры к недопущению ввоза на территорию Российской Федерации шифровальных средств иностранного производства без соответствующей лицензии Министерства торговли и экономического развития, выданной по согласованию с ФСБ России.

3. Указ Президента Российской Федерации от 9 января 1996 г. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (с изменениями от 30 декабря 2000 г.).

В соответствии с Федеральным законом «Об оперативно-розыскной деятельности» Указ возлагает на ФСБ России следующие обязанности:

- лицензирование деятельности не уполномоченных на осуществление оперативно-розыскной деятельности физических и юридических лиц, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввозом в Российскую Федерацию и вывозом за ее пределы специальных технических средств, предназначенных для негласного получения информации, а также сертификацию, регистрацию и учет таких специальных технических средств;

- выявление и пресечение случаев проведения оперативно-розыскных мероприятий и использования специальных и иных технических средств, разработанных, приспособленных, запрограммированных для негласного получения информации, неуполномоченными лицами;

- координация деятельности федеральных органов исполнительной власти, осуществляемой в соответствии с Федеральным законом «Об оперативно-розыскной деятельности», в области разработки, производства, закупки, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности.

4. Указ Президента Российской Федерации от 15 февраля 2006 г. № 116 «О мерах по противодействию терроризму». В соответствии с данным Указом образован Национальный антитеррористический Комитет. Председатель Комитета - директор ФСБ России. Созданы антитеррористические комиссии в субъектах РФ. Увеличена численность Центрального аппарата ФСБ на 300 человек.

5. Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

Постановления Правительства Российской Федерации

1. Постановление Правительства РФ от 15 апреля 1995 г. № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (с изменениями от 23 апреля 1996 г., 30 апреля 1997 г., 29 июля 1998 г., 3 октября 2002 г.) Данным Постановлением утверждено Положение о лицензировании деятельности, связанной с работой со сведениями, составляющими государственную тайну. В нем, в частности, сказано, что органами, уполномоченными на ведение лицензионной деятельности, являются:

- по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, - Федеральная служба безопасности Российской Федерации и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки Российской Федерации (за рубежом);

- на право проведения работ, связанных с созданием средств защиты информации, - Государственная техническая комиссия при Президенте Российской Федерации (здесь и далее следует подразумевать новое название данной организации - ФСТЭК России), Служба внешней разведки Российской Федерации, Министерство обороны Российской Федерации, Федеральная служба безопасности Российской Федерации (в пределах их компетенции);

- на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны - Федеральная служба безопасности Российской Федерации и ее территориальные органы, Государственная техническая комиссия при Президенте Российской Федерации, Служба внешней разведки Российской Федерации (в пределах их компетенции).

Лицензии выдаются на основании результатов специальных экспертиз предприятий и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну, и при выполнении следующих условий:

- соблюдение требований законодательных и иных нормативных актов Российской Федерации по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;

- наличие в структуре предприятия подразделения по защите государственной тайны и необходимого числа специально подготовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения защиты государственной тайны;

- наличие на предприятии средств защиты информации, имеющих сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет. Государственными органами, ответственными за организацию и проведение специальных экспертиз предприятий, являются Федеральная служба безопасности Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации, Служба

внешней разведки Российской Федерации, другие министерства и ведомства Российской Федерации, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий.

2. Постановление Правительства РФ от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» (с изменениями от 23.04.1996 г., 29.03.1999 г.). Данным Постановлением утверждено Положение о сертификации средств защиты информации, которое устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России.

Системы сертификации создаются Государственной технической комиссией при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации.

Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции.

Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны. В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять. Основными схемами проведения сертификации средств защиты информации являются:

- для единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;

- для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе. Срок действия сертификата не может превышать пяти лет.

3. Постановление Правительства РФ от 10 марта 2000 г. № 214 «Об утверждении Положения о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, и списка видов специальных технических средств, предназначенных для

негласного получения информации, ввоз и вывоз которых подлежат лицензированию» (с изменениями от 19 октября 2000 г.). Контроль за ввозом в Российскую Федерацию и вывозом из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, не уполномоченными на осуществление оперативно-розыскной деятельности юридическими лицами обеспечивает Федеральная служба безопасности Российской Федерации и Федеральная таможенная служба Российской Федерации. Лицензирование деятельности по ввозу указанных средств осуществляет Министерство экономического развития и торговли Российской Федерации на основании решений Центра Федеральной службы безопасности Российской Федерации по лицензированию, сертификации и защите государственной тайны.

4. Постановление Правительства РФ от 11 февраля 2002 г. № 135 «О лицензировании отдельных видов деятельности». Устанавливает перечень федеральных органов исполнительной власти, осуществляющих лицензирование в определенных областях, а также виды деятельности, лицензируемые органами исполнительной власти субъектов Российской Федерации. Защиты информации в данном Постановлении касается лицензирование следующих видов деятельности:

МВД России: негосударственная (частная) охранная деятельность, негосударственная (частная) сыскная деятельность;

МЧС России: производство работ по монтажу, ремонту и обслуживанию средств обеспечения пожарной безопасности зданий и сооружений;

ФСБ России:

- разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность;

- деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

- деятельность по распространению шифровальных (криптографических) средств;

деятельность по техническому обслуживанию шифровальных (криптографических) средств;

- предоставление услуг в области шифрования информации;

- разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

- деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;

ФСТЭК России:

- деятельность по технической защите конфиденциальной информации;

-деятельность по разработке и (или) производству средств защиты конфиденциальной информации.

5. Постановление Правительства РФ от 30 апреля 2002 г. № 290 «О лицензировании деятельности по технической защите конфиденциальной информации». Положение определяет порядок лицензирования деятельности юридических и физических лиц по технической защите конфиденциальной информации.

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по защите ее от НСД, в том числе и по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа к ней. Право выдачи лицензий имеет ФСТЭК России.

Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:

а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности «компьютерная безопасность», «комплексное обеспечение информационной безопасности автоматизированных систем» или «информационная безопасность телекоммуникационных систем», либо

специалистами, прошедшими переподготовку по вопросам защиты информации;

б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и нормативно-методическими документами по технической защите информации;

в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;

г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.

Положение также определяет перечень необходимых документов для получения лицензии и порядок ее выдачи. Срок действия лицензии установлен в 5 лет, потом она должна переоформляться. Один раз в год производится проверка выполнения лицензионных требований.

6. Постановление Правительства РФ от 27 мая 2002 г. № 348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации». Определяет порядок лицензирования деятельности юридических и физических лиц по разработке и (или) производству средств защиты конфиденциальной информации. Лицензирование осуществляет ФСТЭК России, а в части разработки средств защиты для объектов Администрации Президента РФ, Совбеза РФ, Федерального Собрания РФ, Правительства РФ, Конституционного, Верховного и Высшего Арбитражного судов - ФСБ России.

Разрабатываемые устройства должны удовлетворять требованиям госстандартов РФ, соответствующей документации и иных нормативных актов, а также по уровню подготовки специалистов и выдерживать соответствие помещений и оборудования требованиям по защите информации. Для деятельности, лицензируемой ФСБ России в данной сфере, набор лицензионных требований значительно шире. Перечень необходимых документов для получения лицензии, порядок ее выдачи, срок действия лицензии и контроль ее выполнения установлены Положением практически аналогично Постановлению № 290, рассмотренному выше.

7. Постановление Правительства РФ от 23 сентября 2002 г. № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». Данным документом утверждаются четыре положения, касающиеся лицензирования отдельных видов деятельности в области криптографических средств:

1. Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств.

2. Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств.

3. Положение о лицензировании предоставления услуг в области шифрования информации.

4. Положение о лицензировании разработки, производства шифровальных (криптографических) средств защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.

В качестве лицензирующего органа выступает ФСБ России. Здесь также определены лицензионные требования, а также перечень необходимых документов, представляемых в лицензионный орган, и порядок рассмотрения и выдачи лицензии.

8. Постановление Правительства РФ от 30 мая 2003 г. № 313 «Об уполномоченном федеральном органе исполнительной власти в области использования электронной цифровой подписи». В соответствии с Федеральным законом «Об электронной цифровой подписи» функции уполномоченного федерального органа исполнительной

власти в области использования электронной цифровой подписи возлагаются на Министерство информационных технологий и связи Российской Федерации. При этом его деятельность в области использования ЭЦП в органах государственной власти России должна согласовываться с ФСБ России.

Ведомственная нормативная база

Нормативные документы и инструктивные материалы МВД РФ:

1. Приказ МВД РФ от 22 августа 1992 г. № 292 «Об организации исполнения органами внутренних дел Закона Российской Федерации «О частной детективной и охранной деятельности в Российской Федерации» (с изм. от 14 ноября 1994 г.).

2. Приказ МВД РФ от 31 декабря 1999 г. № 1105 «О мерах по усилению контроля органами внутренних дел за частной детективной и охранной деятельностью».

3. РД-78.143-92 «Системы и комплексы охранной сигнализации, элементы технической укрепленности объектов. Нормы проектирования».

4. РД-78.147-93 «Единые требования по технической укрепленности и оборудованию сигнализации охраняемых объектов».

Нормативные документы и инструктивные материалы ФСБ РФ:

1. Приказ ФСБ РФ от 13 ноября 1999 г. № 564 «Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия».

2. Приказ ФСБ РФ от 9 февраля 2005 г. № 66. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005). Данное положение распространяется на СКЗИ, предназначенные для защиты информации с ограниченным доступом, но не содержащей сведения, составляющие государственную тайну.

3. Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

Нормативные акты (руководящие документы) и инструктивные материалы ФСТЭК (Гостехкомиссии) России:

1. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации»:

2. «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники».

3. «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники».

4. «Защита информации. Специальные защитные знаки. Классификация и общие требования».

5. «Защита от несанкционированного доступа к информации. Термины и определения».

6. «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

7. «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий».

8. «Инструкция о порядке проведения специальных экспертиз предприятий, учреждений и организаций на право осуществления мероприятий и (или) оказания услуг в области противодействия иностранной технической разведке».

9. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».

10. Решение Гостехкомиссии от 3 октября 1995 г. № 42 «О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте».

11. Положение по аттестации объектов информатизации по требованиям безопасности информации.

12. Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации.

13. Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации.

14. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации.

15. Типовое положение об испытательной лаборатории.

16. Перечень средств защиты информации, подлежащих сертификации в системе сертификации Гостехкомиссии России.

17. Положение о государственном лицензировании деятельности в области защиты информации.

18. Положение о сертификации средств защиты информации по требованиям безопасности информации.

19. Положение по аттестации объектов информатизации по требованиям безопасности информации.

20. Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам.

21. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

22.«Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

23. Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации.

24. Положение о государственном лицензировании деятельности в области защиты информации.

ЛЕКЦИЯ 4. УГРОЗЫ И УЯЗВИМОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В руководящем документе Гостехкомиссии России [РД. Концепция защиты средств вычислительной техники в АС от НСД к информации, 1992] введено понятие модели нарушителя в автоматизированной системе обработки данных. В качестве такового рассматривается субъект, имеющий доступ к работе со штатными средствами АС. При этом в зависимости от возможностей, предоставляемых нарушителям штатными средствами, угрозы делятся на четыре уровня:

- самый низкий - возможности запуска задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции обработки информации;

- промежуточный 1 - дополнительно к предыдущему имеются возможности создания и запуска собственных программ с новыми функциями обработки информации;

- промежуточный 2 - дополнительно к предыдущему предполагается наличие возможностей управления функционированием АС, т.е. воздействия на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования;

- самый высокий - определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав системы собственных технических средств с новыми функциями обработки информации (в этом случае предполагается, что нарушитель является специалистом высшей квалификации, знает все об АС, в том числе и об используемых средствах защиты информации).

Различают 4 уровня возможностей внутреннего нарушителя, которые увеличиваются от уровня к уровню:

- первый уровень - возможность запуска программ из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации (пользователь АРМ, пользователь сети);

- второй уровень - возможность создания и запуска собственных программ с новыми функциями по обработке информации (прикладной программист, разработчик программного обеспечения);

- третий уровень - возможность получения управления функционированием системы, а также воздействия на базовое программное обеспечение, состав и конфигурацию оборудования (системный программист, администратор сервера (ЛВС), администратор информационной системы (базы данных), разработчик);

- четвертый уровень - определяется возможностью проектирования, установки и ремонта средств электронно-вычислительной техники, вплоть до включения в их состав собственных технических и программных средств с новыми функциями по обработке информации (администратор информационной системы, администратор сервера (ЛВС), администратор безопасности информации, разработчик системы, разработчик средств защиты информации, обслуживающий АС персонал).

Можно проводить классификацию и следующим образом:

- по отношению источника угрозы к АС (внешние и внутренние угрозы);

- по виду источника угрозы (физические - отражают физические действия на систему; логические - средства, при помощи которых человек получает доступ к логической информации системы; коммуникационные - относятся к процессам передачи данных по линиям связи; человеческие - являются наиболее трудно контролируемыми и непосредственно связанными с физическими и логическими угрозами);

- по степени злого умысла (случайные и преднамеренные) и т.д.;

- по способам их воздействия.

Преднамеренные угрозы, в свою очередь, могут быть подразделены на активные (несанкционированная модификация данных или программ) и пассивные (несанкционированное копирование данных или программ).

Такая классификация поддерживается большинством специалистов и предусматривает подразделение угроз на информационные, программно-математические, физические и организационные.

Информационные угрозы реализуются в виде:

- нарушения адресности и своевременности информационного обмена;

- противозаконного сбора и использования информации;

- осуществления несанкционированного доступа к информационным ресурсам и их противоправного использования;

- хищения информационных ресурсов из банков и баз данных;

- нарушения технологии обработки информации.

Программно-математические угрозы реализуются в виде:

- внедрения в аппаратные и программные изделия компонентов, реализующих функции, не описанные в документации на эти изделия;

- разработки и распространения программ, нарушающих нормальное функционирование информационных систем или их систем защиты информации.

Физические угрозы реализуются в виде:

- уничтожения, повреждения, радиоэлектронного подавления или разрушения средств и систем обработки информации, телекоммуникации и связи;

- уничтожения, повреждения, разрушения или хищения машинных и других носителей информации;

- хищения программных или аппаратных ключей и средств криптографической защиты информации;

- перехвата информации в технических каналах связи и телекоммуникационных системах;

- внедрения электронных устройств перехвата информации в технические средства связи и телекоммуникационные системы, а также в служебные помещения;

- перехвата, дешифрования и навязывания ложной информации в сетях передачи данных и линиях связи;

- воздействия на парольно-ключевые системы защиты средств обработки и передачи информации.

Организационные угрозы реализуются в виде:

- невыполнения требований законодательства в информационной сфере;

- противоправной закупки несовершенных или устаревших информационных технологий, средств информатизации, телекоммуникации и связи.

Системная классификаций и общий анализ угроз безопасности информации может быть представлена следующим образом:

1. Виды угроз. Данный параметр является основополагающим, определяющим целевую направленность защиты информации.

2. Происхождение угроз. Выделено два значения данного параметра: случайное и преднамеренное.

Системная классификация угроз безопасности информации( параметры классификации, значения параметров, содержание значения параметров)

1 . Виды угроз: 1.1. Физическая целостность; 1.2. Логическая структура; 1.3. Содержание; 1.4. Конфиденциальность; 1.5. Право собственности.

2.Природа происхождения: 2.1.Случайная; 2.2.Преднамеренная

3.Предпосылки появления: 3.1.Объективные; 3.2. Субъективные

4. Источники угроз: 4. 1. Люди; 4.2. Технические устройства; 4.3. Модели, алгоритмы, программы; 4.4. Технологические схемы обработки; 4.5. Внешняя среда

Под случайным понимается такое происхождение угроз, которое обуславливается спонтанными и независящими от воли людей обстоятельствами, возникающими в АС в процессе ее функционирования. Наиболее известными событиями данного плана являются отказы, сбои, ошибки, стихийные бедствия и побочные влияния. Сущность перечисленных событий (кроме стихийных бедствий, сущность которых ясна) определяется следующим образом:

- отказ - нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций;

- сбой - временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции;

- ошибка - неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического (постоянного или временного) его состояния;

- побочное влияние - негативное воздействие на систему в целом или отдельные ее элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.

Преднамеренное происхождение угрозы обуславливается злоумышленными действиями людей.

3. Предпосылки появления угроз. Приведены две возможные разновидности предпосылок: объективные (количественная или качественная недостаточность элементов системы) и субъективные (деятельность разведывательных органов иностранных государств, промышленный шпионаж, деятельность уголовных элементов, действия недобросовестных сотрудников системы).

Перечисленные разновидности предпосылок интерпретируются следующим образом:

- количественная недостаточность - физическая нехватка одного или нескольких элементов системы, вызывающая нарушения технологического процесса обработки данных и/или перегрузку имеющихся элементов;

- качественная недостаточность - несовершенство конструкции (организации) элементов системы, в силу чего могут появляться возможности случайного или преднамеренного негативного воздействия на обрабатываемую или хранимую информацию;

- деятельность разведывательных органов иностранных государств - специально

организуемая деятельность государственных органов, профессионально ориентированных на добывание необходимой информации всеми доступными способами и средствами. К основным видам разведки относятся агентурная (несанкционированная деятельность профессиональных разведчиков, завербованных агентов и так называемых «доброжелателей», «инициативников») и техническая, включающая радиоразведку (перехват радиоэлектронными средствами информации, циркулирующей в телекоммуникационных каналах), радиотехническую разведку (регистрацию спецсредствами электромагнитных излучений технических систем) и космическую разведку (использование космических кораблей и искусственных спутников Земли для наблюдения за территорией, ее фотографирования, регистрации радиосигналов и получения полезной информации любыми другими доступными способами);

- промышленный шпионаж - негласная деятельность организации (ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или хищения, с целью создания для себя благоприятных условий и получения максимальных выгод (недобросовестная конкуренция);

- злоумышленные действия уголовных элементов - хищение информации или компьютерных программ в целях наживы;

- действия недобросовестных сотрудников - хищение (копирование) или уничтожение информационных массивов и/или программ по эгоистическим или корыстным мотивам, а также в результате несоблюдения установленного порядка работы с информацией.

4. Источники угроз. Под источником угроз понимается непосредственный ее генератор или носитель. Таким источником могут быть люди, технические средства, модели (алгоритмы), программы, внешняя среда.

Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры. Наиболее актуальные источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:

- внешние источники угроз: лица, распространяющие вирусы и другие вредоносные программы, и иные лица, осуществляющие несанкционированный доступ (НСД);

- внутренние источники угроз, реализующие угрозы в рамках своих полномочий и за их пределами (персонал, имеющий права доступа к аппаратному оборудованию, в том числе сетевому, администраторы сетевых приложений и т.п.);

- комбинированные источники угроз: внешние и внутренние, действующие совместно и/или согласованно.

Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов:

- внутренние, реализующие угрозы в рамках своих полномочий и за их пределами (администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.);

- комбинированные источники угроз: внешние и внутренние, действующие в сговоре.

Наиболее актуальные источники угроз на уровне бизнес-процессов:

- внутренние источники, реализующие угрозы в рамках своих полномочий и за их пределами (авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.);

- комбинированные источники угроз: внешние (например, конкуренты) и внутренние, действующие в сговоре.

Также необходимо учитывать угрозы, связанные с природными и техногенными катастрофами и террористической деятельностью.

Хорошей практикой является разработка моделей угроз и нарушителей ИБ для данной организации. Модель угроз ИБ включает описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери (например, конфиденциальности, целостности, доступности активов), масштабов потенциального ущерба. Для источников угроз - людей - может быть разработана модель нарушителя ИБ, включающая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.

Степень детализации параметров моделей угроз и нарушителей ИБ может быть различна и определяется реальными потребностями для каждой организации в отдельности. При анализе угроз ИБ необходимо исходить из того, что эти угрозы непосредственно влияют на операционные риски деятельности организации. Операционные риски сказываются на бизнес-процессах организации. Операционные риски порождаются следующими эксплуатационными факторами: технические неполадки, ошибочные (случайные) и/или преднамеренные злоумышленные действия персонала организации, ее клиентов при их непосредственном доступе к информационной базе организаций и другими факторами.

Наиболее эффективным способом минимизации рисков нарушения ИБ для собственника является разработка совокупности мероприятий, методов и средств, создаваемых и поддерживаемых для обеспечения требуемого уровня безопасности информационных активов в соответствии с политикой ИБ организации, разрабатываемой в том числе и на основе моделей угроз и нарушителей ИБ.

Методика оценки соответствия ИБ организации по стандарту СТО БР ИББС 1.0-2006.

Приведем формулировки частных показателей из указанной методики, используемой при аудите информационной безопасности.

1. Применяются (применялись) ли на стадии разработки меры для защиты от следующих угроз ИБ:

- принятия неверных проектных решений;

- внесения дефектов на уровне архитектурных решений;

- внесения недокументированных возможностей;

- неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к ИБ;

2. Обеспечивают ли на стадии эксплуатации применяемые меры и средства обеспечения ИБ защиту от угроз:

- несанкционированного раскрытия;

- модификации или уничтожения информации;

- недоставки или ошибочной доставки информации;

- отказа в обслуживании или ухудшения обслуживания;

- отказа от авторства сообщений;

3. Применяются ли на стадии сопровождения меры для защиты от угрозы внесения изменений в АБС, приводящих к нарушению функциональности АБС либо к появлению недокументированных возможностей, а также для защиты от угрозы невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и состояния АБС?

4. Применяются ли на стадии снятия с эксплуатации меры для защиты от угроз ненадежного удаления информации, несанкционированное использование которой может нанести ущерб бизнес-деятельности организации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС или с внешних носителей?

Как видно, какие-то угрозы для АБС перечислены для каждой стадии жизненного цикла. То, что это не полный список угроз, следует из приводимых далее мер и средств защиты (защитных мер, контролей).

Каналы несанкционированного получения информации (КНПИ) - это физический канал от источника защищаемой информации к злоумышленнику, по которому возможна утечка охраняемых сведений .

Классифицируем все возможные каналы несанкционированного получения информации (КНПИ) по двум критериям: необходимости доступа (физического или логического) к элементам АС для реализации того или иного КНПИ и зависимости появления КНПИ от состояния АС. По первому критерию КНПИ могут быть разделены на не требующие доступа, т.е. позволяющие получать необходимую информацию дистанционно (например, путем визуального наблюдения через окна помещений АС), и требующие доступа в помещения АС. В свою очередь, КНПИ, воспользоваться которыми можно только получив доступ в помещения АС, делятся на не оставляющие следы в АС (например, визуальный просмотр изображений на экранах мониторов или документов на бумажных носителях) и на КНПИ, использование которых оставляет те или иные следы (например, хищение документов или машинных носителей информации).

По второму критерию КНПИ делятся на постоянно существующие независимо от состояния АС (например, похищать носители информации можно независимо от того, в рабочем состоянии находятся средства АС или нет) и существующие только в рабочем состоянии АС (например, побочные электромагнитные излучения и наводки).

КНПИ 1-го класса - каналы, проявляющиеся безотносительно к обработке информации и без доступа злоумышленника к элементам системы. Сюда может быть отнесено подслушивание разговоров, а также провоцирование на разговоры лиц, имеющих отношение к АС, и использование злоумышленником визуальных, оптических и акустических средств. Данный канал может проявиться и путем хищения носителей информации в момент их нахождения за пределами помещения, где расположена АС.

КНПИ 2-го класса - каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам АС. Сюда могут быть отнесены электромагнитные излучения различных устройств ЭВМ, аппаратуры и линий связи, паразитные наводки в цепях питания, телефонных сетях, системах теплоснабжения, вентиляции и канализации, шинах заземления, подключение к информационно-вычислительной сети генераторов помех и регистрирующей аппаратуры. К этому же классу может быть отнесен осмотр отходов производства, попадающих за пределы контролируемой зоны.

КНПИ 3-го класса - каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС, но без изменения последних. К ним относятся всевозможные виды копирования носителей информации и документов, а также хищение производственных отходов.

КНПИ 4-го класса - каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС, но без изменения последних. Сюда может быть отнесено запоминание и копирование информации в процессе обработки, использование программных ловушек, недостатков языков программирования и операционных систем, а также поражение программного обеспечения вредоносными закладками, маскировка под зарегистрированного пользователя.

КНПИ 5-го класса - каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС и с изменением последних. Среди этих каналов: подмена и хищение носителей информации и аппаратуры, включение в программы блоков типа «троянский конь», «компьютерный червь» и т.п., чтение остаточной информации, содержащейся в памяти, после выполнения санкционированных запросов.

КНПИ 6-го класса - каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС и с изменением последних. Сюда может быть отнесено незаконное подключение к аппаратуре и линиям связи, а также снятие информации на шинах питания различных элементов АС.

Угрозы в методе CRAMM

CRAMM - CCTA Risk Analysis & Managment Method (в свою очередь CCTA - Central Computer & Telecommunications Agency), UK). То есть это метод анализа и управления рисками Центрального компьютерного и телекоммуникационного агентства Великобритании.

Представлены следующие классы угроз (в скобках указаны примеры из классов):

1. Форс-мажорные угрозы (пожар; затопление; природные катаклизмы; нехватка персонала).

2. Организационные недостатки.

3. Человеческие ошибки (ошибки при маршрутизации; ошибки пользователей).

4. Технические неполадки (неисправность: сервера, сетевого сервера, запоминающих устройств, печатающих устройств, сетевых распределяющих компонент, сетевых шлюзов, средств сетевого управления или управляющих серверов, сетевых интерфейсов, сетевых сервисов, электропитания, кондиционеров; сбои: системного и сетевого ПО, прикладного ПО).

5. Преднамеренные действия (использование чужого идентификатора: сотрудниками организации, поставщиком услуг, посторонними; несанкционированный доступ к приложению; внедрение вредоносного программного обеспечения; несанкционированное использование системных ресурсов; использование телекоммуникаций для несанкционированного доступа: сотрудниками организации, поставщиком услуг, посторонними; кражи: со стороны сотрудников, со стороны посторонних; преднамеренные несанкционированные действия: сотрудников, посторонних; терроризм.

При составлении перечней угроз информационной безопасности, как правило, используют какой-либо принцип классификации этих угроз. В связи с этим явно или неявно используется та или иная модель угроз, представляющая собой их определенное формальное описание. Можно указать следующие элементы моделей, отражающие существенные особенности угроз:

? источник (или агент) угрозы;

? метод реализации угрозы;

? используемая уязвимость информационно-технологической среды (системы) (ИТС);

? информационные активы, подверженные угрозе;

? вид воздействия на ИТС;

? нарушаемое свойство безопасности ИТС.

Для практического применения удобно использовать классификацию угроз по различным признакам. В основу классификации обычно кладется какой-либо из вышеприведенных элементов. Так, список разделов упомянутого выше перечня угроз из германского стандарта отражает классификацию угроз по их источникам.

Для иллюстрации значения вышеприведенных элементов модели угроз рассмотрим примеры содержания некоторых из них.

Нарушаемое свойство безопасности. Реализация той или иной угрозы информационной безопасности организации может иметь последствием:

? нарушение конфиденциальности информации;

? нарушение целостности информации;

? нарушение (частичное или полное) работоспособности ИТС (нарушение доступности).

Используемая уязвимость системы. Реализация угроз, ведущих к нарушению прав доступа и/или конфиденциальности информации, может происходить:

? с использованием доступа субъекта системы (пользователя, процесса) к объекту (файлу данных, каналу связи и т.д.);

? с использованием скрытых каналов передачи информации.

Характер воздействия на ИТС. По этому критерию различают активное и пассивное воздействие. Активное воздействие всегда связано с выполнением пользователем каких-либо действий, выходящих за рамки его обязанностей и нарушающих существующую политику безопасности. Это может быть доступ к определенным наборам данных, программам, вскрытие пароля и т.д. Активное воздействие ведет к изменению состояния системы и может осуществляться либо с использованием доступа (например, к наборам данных), либо как с использованием доступа, так и с использованием скрытых каналов. Пассивное воздействие осуществляется путем наблюдения пользователем каких-либо побочных эффектов (от работы программы, например) и их анализе. Примером пассивного воздействия может служить прослушивание линии связи между двумя узлами сети. Пассивное воздействие всегда связано только с нарушением конфиденциальности информации в ИТС, так как при нем никаких действий с объектами и субъектами не производится. Пассивное воздействие не ведет к изменению состояния системы.

Способ воздействия на объект атаки (при активном воздействии). Непосредственное воздействие на объект атаки (в том числе с использованием привилегий), например, непосредственный доступ к набору данных, программе, службе, каналу связи и т.д., воспользовавшись какой-либо ошибкой.

Одной из самых главных составляющих нарушения функционирования информационно-телекоммуникационной системы (ИТС) является объект атаки, то есть компонент ИТС, который подвергается воздействию со стороны злоумышленника. Определение объекта атаки позволяет принять меры по ликвидации последствий нарушения, восстановлению этого компонента, установке контроля по предупреждению повторных нарушений и т.д. Воздействию могут подвергаться ИТС в целом или объекты ИТС - данные или программы в оперативной памяти или на внешних носителях, сами устройства системы, как внешние (дисководы, сетевые устройства, терминалы), так и внутренние (оперативная память, процессор), каналы передачи данных, процессы.

Причина появления используемой ошибки защиты. Реализация любой угрозы возможна только в том случае, если в данной конкретной системе есть какая-либо ошибка или брешь защиты. Такая ошибка может быть обусловлена одной из следующих причин:

1. Неадекватность политики безопасности реальной ИТС.

2. Ошибки административного управления, под которыми понимается некорректная реализация или поддержка принятой политики безопасности в данной ИТС.

3. Ошибки в алгоритмах программ, в связях между ними и т.д., которые возникают на этапе проектирования программы или комплекса программ и благодаря которым их можно использовать совсем не так, как описано в документации.

4. Ошибки реализации алгоритмов программ (ошибки кодирования), связей между ними и т.д., которые возникают на этапе реализации или отладки и которые также могут служить источником недокументированных свойств.

Используемые средства атаки. Для воздействия на систему злоумышленник может использовать стандартное программное обеспечение или специально разработанные программы.

Состояние объекта атаки. Объект атаки может находиться в одном из трех состояний: хранения информации; передачи информации; обработки информации.

В работе [GAO 2005, Critical Infrastructure Protection, US] содержится одна из последних классификаций основных угроз для объектов критических сегментов информационной инфраструктуры (ИИ). В табличном виде приводятся описания угроз из указанного документа. Фактически они представляют собой обобщенную классификацию угроз по источнику (агенту) угрозы. Там же приведены типы кибератак с их описанием. К ним относятся: отказ в обслуживании (Denial of service), распределенный отказ в обслуживании (Distributed denial of service), средства эксплуатации уязвимости (Exploit tools), логические бомбы, фишинг (Phishing), снифферы (Sniffer), троянские кони, вирусы, сканирование дозвоном (War dialing), поиск на местности доступной беспроводной сети (War driving), компьютерные черви.

Метод атаки с единого источника, которая приводит к тому, что система отказывает в доступе законным пользователям из-за переполнения атакуемого компьютера от сообщений и блокирования законного трафика. Это может препятствовать системе обмениваться данными с другими системами или использовать Интернет.

Распределенный отказ в обслуживании, DDOS-атака (Distributed Denial of Service)

Разновидность атаки отказа в обслуживании, которая использует координированное воздействие от распределенной системы компьютеров, а не от одного компьютера. Атака часто использует компьютерных червей для распределения заданий на много компьютеров, которые могут затем атаковать цель.

Фишинг (Phishing) Создание и использование электронной почты и веб-сайтов - выглядящими как у законных компаний, финансовых институтов и правительственных организаций - с тем чтобы обманом побудить пользователей Интернета к раскрытию их персональных данных, таких как информация о банковском и финансовом счете и парольные слова. Фишеры затем используют эту информацию в криминальных целях, таких как кража и обман.

Троянский конь Компьютерная программа, которая скрывает в себе вредоносную программу. Троянский конь обычно маскируется как полезная программа, которую пользователь хотел бы использовать.

Вирус Программа, которая заражает компьютерные файлы, обычно выполнимые программы, с помощью внесения своей копии в файл. Эти копии обычно выполняются, когда инфицированный файл загружается в память, позволяя вирусу заражать другие файлы. В отличие от компьютерного червя, вирус требует человеческого участия (обычно непреднамеренного) для распространения.