Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.
Модель нарушителя
Loading...
Из курса от партнера National Research University Higher School of Economics
Менеджмент информационной безопасности
13 оценки
National Research University Higher School of Economics
13 оценки
Из урока
Модель угроз безопасности информации (Модель угроз ИБ)
Добро пожаловать на третью неделю курса! Данный модуль пригодится Вам для того, чтобы приблизить Вас ещё на шаг в изучении информационной безопасности.
После окончания этой недели Вы сможете: построить модель перечисленных потенциальных угроз безопасности информации для конкретной информационной системы; построить модели потенциальных нарушителей безопасности информации для конкретной информационной системы; оценить вероятность или возможность реализации выявленной угрозы безопасности информации; оценить влияние выявленных угроз безопасности информации на конкретные аспекты безопасности информации, хранимой и обрабатываемой в информационной системе; оценить актуальность выявленных угроз безопасности информации для конкретной информационной системы. Пользуйтесь дополнительными материалами и слушайте видеоролики, желаем успехов в освоении материала!
Познакомьтесь с преподавателями
Сорокин Александр ВладимировичСтарший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ
[МУЗЫКА] Для определения первого компонента в векторе,
о котором мы поговорили в предыдущей части лекции, требуется детальное изучение
нарушителя, который, возможно, будет источником той или иной угрозы, то есть,
по сути, построение так называемой модели нарушителя, о которой давайте поговорим.
Целью оценки возможности нарушителя по реализации угроз
безопасности информации является формирование предположения о
следующих его параметрах: типах нарушителя согласно классификации,
которую мы рассмотрели на предыдущей лекции, его видах, его потенциале,
его целях и его возможных способах реализации угроз безопасности информации.
Несмотря на то что в сам по себе вектор, описывающий ту или иную угрозу,
вносится информация, в общем-то, только о виде нарушителя и, возможно, о типе, если
есть два разных нарушителя, различающиеся по типу, но одинаковые по виду.
Примеры таких нарушителей есть в таблице,
которую мы с вами рассматривали в прошлый раз и к которой еще раз обратимся.
Вот полная модель нарушителей включается
в модель угроз безопасности информации как составная часть.
То есть вот эти все пять параметров требуют определить,
несмотря на то что используются в описании угроз первые два,
целиком вся эта модель включается, и она в дальнейшем позволяет выбрать
наиболее адеватные методы и средства противодействия конкретным нарушителям,
действующим по конкретному, условно говоря, сценарию, воздействующим на
конкретные цели и конкретными способами с конкретными целями.
Нарушители, еще раз напомню, бывают внешние и внутренние.
Внешние нарушители — лица, не имеющие права доступа к информационной системе,
то есть это лица, находящиеся за границами информационной системы,
по сути — все, кто не обладают какими-то правами на территории объекта
информатизации и не являются ее сотрудниками.
А внутренние нарушители, или нарушители второго типа — это лица,
имеющие право постоянного или разового доступа к информационной системе либо ее
отдельным компонентам.
Еще раз обратим внимание на фразу «или разового доступа» — то есть различные
специалисты, приглашенные единожды для установки, пуска,
наладки тех или иных компонент информационной системы,
рассматриваются как нарушители именно внутренние, такого типа.
Виды нарушителей.
Еще раз напомню, из классификации предыдущей лекции это спецслужбы либо
разведки иностранных государств, различные преступные группировки.
Отдельно выделяются террористические и экстремистские группировки как наиболее
замотивированные, наиболее, возможно, действующие агрессивно,
наиболее финансово технологически вооруженные в различных областях.
Они выделяются из числа просто преступных групп, основным целями которых — именно
преступных групп — является чаще всего личное обогащение тем или иным путем.
Далее: внешние субъекты как просто любые лица, находящиеся за пределами
системы конкурирующей организации, как целенаправленно действующий нарушитель,
стремящийся к получению конкурентных преимуществ: разработчики, производители,
поставщики программно-технических средств, которые могут действовать как
целенаправленно, то есть злонамеренно, так и просто халатно.
Лица, привлекаемый для установки, наладки, монтажа,
пусконаладочных и иных видов работ,
которые также могут быть и злоумышленными и просто низкоквалифицированными.
Лица, обеспечивающие функционирование информационных систем или обслуживающую
инфраструктуру оператора — это постоянно находящийся на территории объекта
информатизации персонал, который тоже может действовать как злоумышленно,
так и халатно.
Пользователи информационной системы — это самый обобщенный вид
внутреннего нарушителя.
Администраторы информационной системы и администраторы безопасности — наиболее
привилегированные пользователи, обладающие наибольшим потенциалом из
именно всех пользователей информационной системы.
А также бывшие работники, которые могут сводить счеты с бывшим работодателем.
В зависимости от потенциала, которым обладают нарушители, они распределяются по
трем уровням: это нарушители, обладающие базовым, либо низким, потенциалом,
нарушители, обладающие базовым повышенным, другими словами, средним потенциалом
нападения, и нарушители, обладающие высоким потенциалом нападения.
Целями, или мотивациями, реализации ими угроз безопасности информации в
информационной системе, как вы, возможно, помните, могут быть: нанесение ущерба
государству либо отдельным его сферам деятельности или секторам экономики,
реализация угроз безопасности по идеологическим или политическим мотивами,
организация теракта, причинение имущественного ущерба путем мошенничества
или иным преступным путем, дискредитация или дестабилизация деятельности органов
государственной власти либо организации, получение конкурентных преимуществ,
внедрение дополнительных функциональных возможностей в программное обеспечение или
программно-технические средства на этапе разработки,
любопытство или желание самореализации, выявление уязвимостей с целью их
дальнейшей продажи и получение финансовой выгоды.
А также реализация угроз безопасности информации из мести,
реализация угроз безопасности информации непреднамеренно,
из-за неосторожности или неквалифицированных действий.
В предыдущей лекции мы с вами подробно говорили об этих целях и мотивациях,
можно к ним обратиться и еще раз освежить в памяти.
Мы сейчас просто их перечислим, поскольку нам потребуется выбирать из этого перечня,
какой же конкретной целью или мотивацией руководствуется наш конкретный нарушитель,
которого мы моделируем.
Кроме того, нарушитель, которого мы пытаемся смоделировать,
реализует свои угрозы безопасности информации за счет тех или иных действий,
которые тоже нам требуется определить.
Здесь не обязательно выбрать одно конкретное возможное действие,
которое может использовать нарушитель — он может использовать несколько
различных сценариев действий.
Наша задача — определить круг исчерпывающий всего,
чего от него можно ожидать.
Значит, это может быть несанкционированный доступ или воздействие на объекты на
различных уровнях: на аппаратном, на общесистемном, на прикладном, на сетевом.
Это, как правило, зависит от того, является ли нарушитель внутренним либо
внешним, какие у него есть полномочия в информационной системе,
что ему позволено делать и как он делает: маскируется ли он от других пользователей
либо действует в рамках своих штатных полномочий.
Кроме того, нарушитель может использовать несанкционированный физический доступ
или воздействие на различные компоненты автоматизированной системы, либо
он может воздействовать на пользователей, администраторов безопасности информации
данной системы, то есть применять так называемую социальную инженерию.
Наша задача здесь — определить, чего мы от него ждем,
является ли он социальным инженером, является ли он вандалом, как он
воздействует на ту или иную систему, может ли он подключать к ней новые устройства,
запускать программы, штатные или разработанные им самим.
Это требуется для того, чтобы в дальнейшем понимать, что достаточно, для того
чтобы парировать его усилия, либо что достаточно для того, чтобы заставить его
отказаться от своих намерений, с какими он должен столкнуться препятствиями.
В дальнейших лекциях мы с вами как раз подробно рассмотрим категории методов и
средств обеспечивания безопасности информации, поговорим о том, как выбирать
их адекватный состав для противодействия конкретным смоделированным и признанным
актуальными угрозами, реализуемыми с моделированными же нарушителями.
Рассмотрим два примера смоделированных нарушителей.
Нарушитель первый — это разработчик вредоносного программного обеспечения —
тот, кто написал вирусы или вредоносную программу, например типа «троянский конь»,
которая похищает некоторую пользовательскую информацию с его рабочей
станции.
А нарушитель 2 — это действующий халатно пользователь, который по своей
низкой квалификации данное вредоносное программное обеспечение скачал.
Тип первого нарушителя — внешний, а тип второго — внутренний.
Далее определяем вид.
Вид нарушителя первого кратко сформулирован как разработчики
программного обеспечения,
а второго нарушителя — пользователь информационной системы.
Далее определим потенциал наших нарушителей.
Потенциал первого нарушителя — базовый повышенный, то есть средний.
Данный нарушитель является специалистом в области разработки программного
обеспечения, он обладает одним из признаков базового повышенного потенциала.
А нарушитель второй у нас имеет базовый низкий потенциал — это просто
пользователь с минимальными полномочиями в системе.
Но тем не менее он может запускать какие-то сторонние программные средства
кроме штатных.
Далее рассмотрим цели и мотивацию данных нарушителей.
Нарушитель первый направлен на такие цель,
как внедрение дополнительных функциональных возможностей в программное
обеспечение или в программно-технические средства на этапе разработки.
То есть он делает программу вредоносной.
Возможно, эта программа распространяется бесплатно, у нее есть некий полезный
функционал, например она позволяет пользователю решать какие-то задачи
альтернативным способом по отношению к платному программному обеспечению,
то есть, допустим, распространяется бесплатный аналог какого-то популярного
программного средства, например для записи информации на оптические диски.
И другая его цель — причинение имущественного ущерба путем мошенничества
или иным преступным путем.
Несанкционированная, недокументированная часть этой программы,
которая имеет и полезную часть,
должна тем или иным образом по замыслу ее разработчика наносить имущественный ущерб,
например похищать данные кредитных карт пользователя,
который по своей халатности эту программу скачал и запустил.
И, соответственно, второй нарушитель у нас имеет такие цели, как реализация угроз
безопасности информации непреднамеренно из-за неосторожности или
неквалифицированных действий — он попросту не смог отличить опасную программу,
ни доверенную от программы доверенной,
поэтому угроза безопасности и реализовалась.
Какие возможные способы реализации угроз информационной безопасности
у нас эксплуатируют эти два нарушителя?
Значит, первый реализует несанкционированный доступ или воздействие
на объекты на прикладном уровне.
На самом деле, оба нарушителя действуют на этом уровне, потому что речь идет о
запуске несанкционированного программного обеспечения, то есть того,
которое не является штатным.
Только первый нарушитель является его разработчиком и через свою программу он
получает доступ к информации.
А второй нарушитель это программное обеспечение запускает и таким образом
реализует воздействие на объекты на прикладном уровне.
В данном случае сам он не получает несанкционированного доступа,
он воздействует на объект и таким образом, давая возможность первому нарушителю,
получить этот самый несанкционированный доступ.
Построив таким образом модели нарушителей, мы можем включить их в описание
угроз безопасности информации и таким образом полностью сформировать вектор
вот этих отобранных первоначальных угроз безопасности информации,
которые, возможно, не совсем фантастичны для данной информационной системы.
И далее нам с вами потребуется из них отобрать действительно актуальные.
Об этом мы поговорим далее.
[МУЗЫКА]
[МУЗЫКА]
Ознакомьтесь с нашим каталогом
Присоединяйтесь бесплатно и получайте персонализированные рекомендации, обновления и предложения.
Coursera делает лучшее в мире образование доступным каждому, предлагая онлайн-курсы от ведущих университетов и организаций.
© Coursera Inc., 2019 Все права защищены.
