Основной задачей исследований в области информационной безопасности является разработка новых и совершенствование имеющихся методов и средств защиты информации.
Вопросы защиты информации регламентируются федеральными законами, указами президента РФ, постановлениями правительства РФ, государственными стандартами, а также нормативно-методическими документами ФСТЭК России и ФСБ России. При проведении работ по защите государственных информационных ресурсов требования нормативно-методических документов являются обязательными, в остальных случаях они носят рекомендательный характер.
Одной из задач мероприятий по защите информации является построение системы ее защиты, направленной на противодействие угрозам информационной безопасности.
Система защиты информации строится на основании модели нарушителя и модели угроз.
Модель нарушителя – это абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.
Методика построения модели нарушителя прав доступа
Существующие сегодня подходы к построению модели нарушителя имеют ряд общих классификационных признаков, однако неполно описывают нарушителей, а их категории, представленные в различных источниках, не являются коррелированными.
При этом в нормативно-методических документах указывается, что необходимым условием разработки системы защиты является формирование модели угроз, а модель нарушителя тесно связана с моделью угроз и по сути является ее частью.
Смысловые отношения между ними следующие: в модели угроз содержится максимально полное описание угроз, а в модели нарушителя – описание предположения о возможностях нарушителя, являющегося источником угроз, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Как правило, при построении модели нарушителя выделяют внутренних и внешних нарушителей, а также учитывают:
– наличие у нарушителей доступа к штатным средствам (совокупность программного, микропрограммного и технического обеспечения);
– уровень знаний нарушителей об объектах атак;
– уровень профессиональной подготовки нарушителей;
– возможность использования нарушителями различных средств для проведения атак;
– преследуемые нарушителями цели;
– возможный сговор нарушителей разных категорий.
Помимо этих аспектов, при построении модели нарушителя следует рассматривать перечень соответствия объектов доступа субъектам атак, описание каналов атак, обоснование исключения субъектов атак из числа потенциальных нарушителей, а также стадии жизненного цикла и уровни автоматизированных систем (АС), на которые может воздействовать нарушитель.
Для гарантированного решения задач защиты информации в АС (по ГОСТу Р 51624-2000) необходимо учитывать следующие уровни воздействия нарушителей: уровни технических каналов, несанкционированного доступа, вредоносного воздействия, закладных устройств, системы защиты информации.
Штатные средства, с использованием которых возможен несанкционированный доступ, могут быть самыми разными: программное, микропрограммное и техническое обеспечение средств вычислительной техники (СВТ) или АС. Следовательно, необходимо классифицировать уровень несанкционированного доступа к защищаемой информации.
Классификация уровней несанкционированного доступа к защищаемой информации может быть представлена в виде стека протоколов TCP/IP (см. [Kurose J.F., Ross K.W.]) либо в виде иных моделей, отражающих сетевые принципы правил обмена данными между субъектами.
Учитывая вышеизложенное, уровни воздействия нарушителей прав доступа в АС могут быть следующими:
– уровень технических каналов;
– прикладной уровень стека протоколов TCP/IP;
– транспортный уровень стека протоколов TCP/IP;
– сетевой уровень стека протоколов TCP/IP;
– канальный уровень стека протоколов TCP/IP;
– физический уровень стека протоколов TCP/IP;
– уровень вредоносного воздействия;
– уровень закладных устройств;
– уровень системы защиты информации.
На основании предложенных классификационных признаков модель нарушителя будет представлена семью категориями нарушителей.
1. Субъекты, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к АС. Могут воздействовать на физический уровень стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации или самоутверждения. При этом используют технические средства перехвата без модификации компонентов системы (пассивные средства атак).
2. Зарегистрированные пользователи АС, осуществляющие ограниченный доступ к ресурсам АС с рабочего места. Могут воздействовать на физический, транспортный и прикладной уровни стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации, самоутверждения или случайно. При этом используют технические средства перехвата без модификации компонентов системы (пассивные средства атак), а также штатные средства и недостатки систем защиты для ее преодоления.
3. Зарегистрированные пользователи АС, осуществляющие удаленный доступ к АС по локальным и (или) распределенным каналам передачи данных. Могут воздействовать на физический, сетевой, транспортный и прикладной уровни стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации, самоутверждения или случайно. При этом используют технические средства перехвата без модификации компонентов системы (пассивные средства атак), а также штатные средства и недостатки систем защиты для ее преодоления.
4. Зарегистрированные пользователи с полномочиями системного администратора АС. Могут воздействовать на все уровни стека протоколов TCP/IP, уровень вредоносного воздействия с целью хищения информации, а также с целью вывода из строя АС. При этом используют все средства атак. Возможен сговор с нарушителями пятой и шестой категорий. Не имеют доступа к средствам защиты информации и протоколирования и к части ключевых элементов АС.
5. Зарегистрированные пользователи с полномочиями администратора безопасности АС. Могут воздействовать на все уровни стека протоколов TCP/IP, уровень вредоносного воздействия, уровень технических каналов, уровень системы защиты информации с целью хищения информации, а также с целью вывода из строя АС. При этом используют все средства атак. Возможен сговор с нарушителями четвертой и шестой категорий. Не имеют прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных).
6. Разработчики прикладного ПО и технических средств и лица, обеспечивающие их поставку, сопровождение и ремонт на защищаемом объекте. Могут воздействовать на все уровни стека протоколов TCP/IP, уровень вредоносного воздействия, уровень технических каналов, уровень закладных устройств с целью хищения информации, а также вывода из строя АС. При этом используют все средства атак. Могут вступать в сговор с нарушителями четвертой и пятой категорий, а также вносить ошибки, программные закладки, вредоносные программы в ПО и технические средства АС и имеют недекларированные возможности.
7. Внешние нарушители, которыми являются субъекты, осуществляющие воздействие за пределами контролируемой зоны. Могут воздействовать на все уровни с целью хищения информации, самоутверждения, а также вывода из строя АС. При этом используют методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение програм- мных закладок и использование специальных инструментальных и технологических программ).
Данная классификация наиболее полно охватывает аспекты, рассмотренные научным сообществом и отраженные в нормативно-методической документации, а также позволяет однозначно классифицировать нарушителя.
Необходимо отметить, что для исключения субъектов атак из числа потенциальных нарушителей дается описание привилегированных пользователей АС, назначаемых из особо доверенных лиц и осуществляющих техническое обслуживание технических и программных средств АС, включая их настройку и конфигурирование. Как правило, привилегированные пользователи АС исключаются из числа потенциальных нарушителей.
Субъекты шестой категории, к которым относятся разработчики, могут быть исключены из потенциальных нарушителей на основании организационно-технических мер при заключении договоров со сторонними организациями на разработку, поставку, сопровождение и ремонт прикладного ПО и технических средств.
Кроме того, следует учитывать ограничения на степень информированности нарушителя (перечень сведений, в отношении которых предполагается, что они недоступны нарушителю). При определении ограничений на имеющиеся у нарушителя средства атак должны быть рассмотрены
- доступные в свободной продаже технические средства и ПО;
- специально разработанные технические средства и ПО;
- штатные средства.
На стадии разработки, производства, хранения, транспортировки, ввода в эксплуатацию техни- ческих и программных средств воздействие нарушителя можно исключить в случае, если в АС применяются сертифицированные технические и программные средства, проверенные на наличие недекларированных возможностей.
Обоснованные исключения субъектов атак из числа потенциальных нарушителей могут существенно снизить требования к средствам защиты АС и исключить категории нарушителей, которые не смогут осуществить атаку.
Алгоритм построения модели угроз и нарушителей представлен на рисунке.
Для определения угроз, уязвимостей и их комбинации, оценки вероятности их возникновения и степени воздействия на АС проводится анализ рисков. Вероятность реализации угрозы оценивается на основании идентификации источника и объекта угрозы. При выборе и реализации защитных мер должны учитываться ограничения, выявленные при анализе рисков. Снижение уровня рисков осуществляется также за счет снижения уровня угроз и степени уязвимости АС. Необходимо периодически пересматривать существующие и учитывать новые ограничения, так как они подвержены изменениям, как и состав АС.
При построении модели угроз предлагается классифицировать угрозы, источником которых является нарушитель, в соответствии с уровнями воздействия нарушителей, что позволит упростить процедуру взаимодействия моделей угроз и нарушителей, необходимую для построения перечня актуальных угроз.
На основании полученных от модели угроз данных (уровни воздействия нарушителей, на которых существуют угрозы, перечень угроз) осуществляется соотношение угроз с возможностями нарушителя той или иной категории.
Перечень угроз, классифицированных в соответствии с уровнями воздействия нарушителей, представляется в следующем виде: {Уi, L1, L2, L3, L4, L5, L6, L7, L8, L9}, i=[1; N], где N – количество актуальных угроз; Lj – флаг для обозначения j-го уровня воздействия нарушителей, для которого актуальна Уi угроза, j=[1; 9]; L9 – уровень закладных устройств; L8 – уровень системы защиты информации; L7 – уровень технических каналов; L6 – прикладной уровень эталонной модели TCP/IP; L5 – транспортный уровень эталонной модели TCP/IP; L4 – сетевой уровень эталонной модели TCP/IP; L3 – канальный уровень эталон- ной модели TCP/IP; L2 – физический уровень эталонной модели TCP/IP; L1 – уровень вредоносного воздействия.
Методика определения категории нарушителя в общем случае сводится к следующему алгоритму.
1. Выбирается признак классификации из множества L=(L1, L2, L3, L4, L5, L6, L7, L8, L9).
2. По значению выбранного j-го признака множество угроз Уi разбивается на подмножест- ва Уij.
3. Формируется вектор l существования ак- туальных угроз j-му уровню воздействия нару- шителя по следующему правилу: j-й элемент вектора l равен единице, если |Уij|>0, и нулю в ином случае.
4. С помощью вектора l определяется максимальная категория нарушителя в соответствии с таблицей, начиная с нарушителя первой категории (Н1).
Соотношение категорий нарушителя и уровней их воздействия
Категория
|
Уровень
|
L1
|
L2
|
L3
|
L4
|
L5
|
L6
|
L7
|
L8
|
L9
|
Н1
|
1
|
1
|
0
|
0
|
0
|
0
|
0
|
0
|
0
|
Н2
|
1
|
1
|
0
|
0
|
1
|
1
|
0
|
0
|
0
|
Н3
|
1
|
1
|
0
|
1
|
1
|
1
|
0
|
0
|
0
|
Н4
|
1
|
1
|
1
|
1
|
1
|
1
|
0
|
0
|
0
|
Н5
|
1
|
1
|
1
|
1
|
1
|
1
|
1
|
1
|
0
|
Н6
|
1
|
1
|
1
|
1
|
1
|
1
|
1
|
0
|
1
|
Таким образом строится перечень актуальных угроз для каждой категории нарушителей.
При исключении субъектов атак из числа потенциальных нарушителей можно уменьшить максимальную категорию нарушителя, а следовательно, и количество актуальных угроз.
В заключение необходимо отметить, что предложенный алгоритм позволяет построить типовую модель нарушителя в соответствии с государственными требованиями. При этом данная модель отличается оригинальной однозначной классификацией нарушителей прав доступа в АС в соответствии с уровнями их воздействия на АС. Применение предложенной модели позволяет избежать привлечения специалистов по защите информации на этапе предпроектного обследования.
Литература
Kurose J.F., Ross K.W. Computer Networking: A Top-Down Approach, NY. Addison-Wesley, 2010.