Searchinform Практика применения DLP-систем Угрозы нарушители каналы утечки

Searchinform Практика применения DLP-систем Угрозы, нарушители, каналы утечки и DLP-системы 28 мая 2013 г.

Вопросы для обсуждения p Угрозы информационной безопасности p Нарушитель информационной безопасности p Типовая модель угроз безопасности p Роль и место DLP-системы в защите информации (практическое задание)

Угрозы информационной безопасности Модель угроз, являясь прежде всего рабочим инструментом анализа проблем в сфере информационной безопасности, предназначена для выявления актуальных угроз информационной безопасности с целью последующей разработки требований, определяющих организационно-режимные и технические мероприятия по защите информации ограниченного распространения, а также передаваемой техническими средствами по незащищенным каналам передачи данных. Источники угроз делятся на субъективные (зависят от действий персонала и, в основном, устраняются организационными мерами и программно-аппаратными средствами) и объективные (зависят от особенностей построения и технических характеристик оборудования).

Угрозы информационной безопасности К субъективным источникам угроз относятся: - внешние субъективные источники угроз - деятельность внешних нарушителей, направленная на совершение НСД к защищаемой информации, в частности, посредством: а) внесения аппаратных закладок в технические средства; б) удаленного внедрения вредоносного ПО в программные средства; в) перехвата защищаемой информации в каналах передачи данных, незащищенных от НСД организационно-техническими мерами; г) подбора аутентифицирующей информации пользователей. - внутренние субъективные источники угроз безопасности информации - действия лиц, имеющих доступ к работе со штатными средствами вычислительной техники и (или) допуск в пределы контролируемой зоны. К объективным источникам угроз относятся: - стихийные источники потенциальных угроз информационной безопасности, которые являются внешними по отношению к информационной системе организации и под которыми понимаются прежде всего природные явления (пожары, землетрясения, наводнения и т. п. ); - источники, связанные с техническими средствами ИС, которые являются внутренними по отношению к ИС и включают в себя: а) передачу информации по проводным и волоконно-оптическим каналам передачи данных; б) дефекты, сбои и отказы технических средств ИС (средств обработки информации и программно-технических средств защиты информации ИС); в) отказы и сбои программных средств обработки информации.

Угрозы информационной безопасности ИС можно разделить на следующие виды: Ш атаки; Ш угрозы, не являющиеся атаками. Атака является целенаправленным действием нарушителя с использованием технических и (или) программных средств, с целью нарушения заданных характеристик безопасности защищаемых ресурсов или с целью создания условий для этого. Атаки на информационные ресурсы подразделяются на следующие виды: - атаки, реализуемые через каналы, возникающие за счет использования технических средств съема (добывания) информации (технические каналы утечки информации); - атаки, реализуемые за счет несанкционированного доступа к защищаемой информации в ИС с применением программных и программноаппаратных средств.

Угрозы информационной безопасности Угрозы, не являющиеся атаками, могут быть следующими: - угрозы, не связанные с деятельностью человека (стихийные бедствия и природные явления); - угрозы социально–политического характера (забастовки, саботаж, локальные конфликты и т. д. ); - угрозы техногенного характера (отключение электропитания, системы заземления, разрушение инженерных сооружений, неисправности, сбои аппаратных средств, нестабильность параметров системы электропитания, заземления, помехи и наводки, приводящие к сбоям в работе аппаратных средств и т. д. ); - ошибочные или случайные действия и (или) нарушения тех или иных требований лицами, взаимодействующими с информационными ресурсами в рамках своих полномочий (непреднамеренные действия пользователей).

Нарушитель информационной безопасности Под нарушителем понимается физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности защищаемой информации. В общем случае модель нарушителя содержит предположения о возможностях нарушителя, которые он может использовать для реализации угроз, а также об ограничениях на эти возможности. Угрозы (атаки) готовятся и проводятся нарушителем, причем возможность реализации угрозы обусловлена возможностями нарушителя, а именно его информационной и технической вооруженностью. Возможными направлениями действий нарушителя являются: q доступ к защищаемой информации с целью нарушения ее конфиденциальности (хищение, ознакомление, перехват); q доступ к защищаемой информации с целью нарушения ее целостности (модификация данных); q доступ к техническим и программным средствам с целью постоянного или временного нарушения доступности защищаемой информации для легального пользователя; q доступ к техническим и программным средствам с целью внесения в них несанкционированных изменений, создающих условия для проведения атак; q доступ к средствам защиты информации с целью изменения их конфигурации.

Нарушитель информационной безопасности Типы нарушителей информационной безопасности: q внешние нарушители, осуществляющие атаки из-за пределов контролируемой зоны (КЗ). К внешним нарушителям относятся представители криминальных структур, а также другие физические лица, пытающиеся получить доступ к информации в инициативном порядке, в том числе «хакеры» и т. п. лица. Внешний нарушитель может осуществлять попытки НСД к информации из-за границы КЗ, в том числе с использованием каналов передачи данных; q внутренние нарушители, осуществляющие атаки, находясь в пределах КЗ. Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах КЗ ограничительных факторов, основными из которых являются организационные, режимные, инженернотехнические и другие меры, направленные на предотвращение и пресечение несанкционированных действий лиц, имеющих доступ в КЗ; подбор и расстановку кадров; организацию контроля и разграничения доступа физических лиц в КЗ, а также к средствам вычислительной техники (СВТ) и в помещения, в которых они расположены; контроль над порядком проведения работ; контроль над соблюдением требований документации, определяющей политику безопасности.

Нарушитель информационной безопасности Потенциальных внутренних нарушителей можно разделить на следующие категории: q. Категория I: зарегистрированный пользователь с полномочиями администратора; q. Категория II: зарегистрированный пользователь информационных ресурсов; q. Категория III: лица, имеющие санкционированный доступ в помещения с размещаемымитам СВТ, но не имеющие санкционированного доступа к соответствующим ресурсам; q. Категория IV: сотрудники подразделений (организаций), выполняющие разработку прикладного программного обеспечения, ремонт и восстановление работоспособности СВТ.

Каналы, используемые нарушителем для доступа к защищаемой информации При попытке доступа к защищаемым ресурсам информационной системы организации (попытке атаки) нарушитель в общем случае может использовать следующие каналы: qканалы непосредственного доступа к объекту атаки (визуальный, физический); qобщедоступные каналы связи, по которым осуществляется передача информации ограниченного доступа; qтехнические каналы утечки информации. Для осуществления доступа к информационным ресурсам внешний нарушитель может использовать следующие основные каналы атак: qвизуально-оптический канал; Для осуществления доступа к информационным ресурсам внутренний нарушитель может использовать следующие основные каналы атак: qвизуальный канал; qносители информации (НЖМД, flashнакопители, оптические диски и т. д. ), использованные в процессе эксплуатации и оказавшиеся за пределами контролируемой зоны; qфизический доступ к штатным программно-аппаратным средствам; qобщедоступные каналы связи, по которым осуществляется передача информации ограниченного доступа. qносители информации (НЖМД, flashнакопители, оптические диски и т. д. );

Типовая модель угроз безопасности Для организации в общем случае актуальны следующие типовые угрозы: - угрозы, связанные с НСД к информационным ресурсам (в том числе угрозы внедрения вредоносных программ): а) угрозы, осуществляемые при непосредственном физическом доступе к СВТ: 1) кража (утеря) носителей информации; 2) несанкционированный доступ к информации, хранящейся на съемных носителях (в том числе оказавшихся за пределами КЗ); 3) восстановление защищаемой информации и информации об ИС путем анализа выведенных из употребления носителей информации; 4) несанкционированный доступ к информационным ресурсам; 5) модификация, уничтожение, блокирование информации; 6) нарушение работоспособности СВТ; 7) нарушение работоспособности коммутационного оборудования, каналов связи; 8) несанкционированное (в том числе непреднамеренное) отключение средств защиты информации; 9) внедрение вредоносного ПО; 10) проведение атак, основанных на использовании уязвимостей и НДВ средств, взаимодействующих со средствами защиты информации и способных повлиять на их функционирование; 11) установка ПО, не предназначенного для исполнения должностных обязанностей; 12) установка аппаратных закладок в приобретаемые СВТ (ПЭВМ); 13) внедрение аппаратных закладок посторонними лицами после начала эксплуатации СВТ; 14) подбор аутентифицирующей информации пользователей (администраторов); 15) вывод информации на неучтенные носители (в том числе вывод на печать); 16) утечка защищаемой информации; 17) модификация технических средств, внесение неисправностей в технические средства; 18) модификация программных средств; 19) модификации программных средств защиты, изменение их настроек; 20) модификация ведущихся в электронном виде регистрационных протоколов;

Типовая модель угроз безопасности б) угрозы, осуществляемые с использованием протоколов межсетевого взаимодействия: 1) анализ сетевого трафика с перехватом передаваемой из организации и принимаемой в организации из внешних сетей информации; 2) модификация защищаемой информации при ее передаче по каналам связи; 3) получение сведений об программно-аппаратных средствах путем прослушивания каналов связи; 4) разглашение информации путем передачи ее по электронной почте, системам обмена моментальными сообщениями и т. п. ; 5) внедрение по сети вредоносных программ; 6) создание нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных; 7) создание нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений передаваемой информации; 8) получение доступа (проникновение) в операционную среду с использованием штатного программного обеспечения и протоколов сетевого взаимодействия (средств операционной системы или прикладных программ общего применения); 9) отказ в обслуживании; 10) выявление паролей; 11) навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных внутри сети; 12) навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных во внешних сетях; 13) сканирование, направленное на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций, топологии сети, открытых портов и служб, открытых соединений и др. ; 14) внедрение ложного объекта как в локальной сети, так и во внешних сетях; 15) подмена доверенного объекта;

Типовая модель угроз безопасности - угрозы утечки по техническим каналам утечки информации: а) просмотр информации на дисплее лицами, не имеющими к ней допуска; б) просмотр информации на дисплее лицами, не допущенными к обработке соответствующей информации, с использованием технических (в т. ч. оптических) средств.

Роль и место DLP-систем в защите информации: практическое задание

Спасибо за внимание!