https://pastein.ru/t/cny
Загрузка данных
Вот решение для 8 варианта (Работник службы ЗИ предприятия) по Практической работе №5.
2. Классификация и потенциал нарушителя
Выбранный нарушитель: Работник службы защиты информации (ЗИ) предприятия.
Потенциал нарушителя:
Средний (или высокий, в зависимости от должности, но в рамках учебной работы примем Средний с элементами высокого).
Обоснование: Работник службы ЗИ обладает знаниями о построении системы защиты объекта, имеет доступ к средствам администрирования и мониторинга, знает уязвимости системы и может проводить анализ кода или конфигураций средств защиты. Он может привлекать специализированное ПО и обладает навыками сокрытия следов.
Классификация нарушителя в соответствии с теорией:
1. По отношению к объекту: Внутренний (имеет легальный доступ в контролируемую зону и к информационным ресурсам).
2. По используемым методам и средствам: Активное отслеживание модификаций, использование штатных средств защиты в обход правил, внедрение программных закладок или «черных ходов», использование недостатков системы защиты.
3. По уровню знаний: Высокий уровень знаний (обладает сведениями о средствах и механизмах защиты атакуемой системы; знает сетевое и системное администрирование).
4. По времени воздействия: В процессе обработки и хранения данных (в рабочее время или удаленно).
5. По месту осуществления воздействия: Доступ на охраняемую территорию, непосредственный физический контакт с серверами и системами администрирования безопасности.
---
3. Модель нарушителя информационной безопасности
Объект защиты: Информационная система предприятия (из ПР №4).
Характеристика Нарушитель (Работник службы ЗИ)
Вычислительная мощность технических средств Рабочая станция администратора (средняя/высокая производительность), доступ к серверному оборудованию ИС.
Доступ к интернету, тип каналов доступа Постоянный широкополосный доступ (корпоративная сеть). Возможность организации скрытых туннелей (VPN/SSH) через корпоративный прокси.
Финансовые возможности Низкие/Средние (личные средства, но доступ к дорогостоящему лицензионному ПО предприятия для служебных нужд).
Уровень знаний в области IT Высокий. Знание ОС, сетевых протоколов, криптографии, систем мониторинга и аудита, специализированного ПО для анализа защищенности.
Используемые технологии Штатные средства администрирования (Active Directory, консоли антивирусов, SIEM-системы), анализаторы трафика (Wireshark), сканеры уязвимостей, скриптовые языки (PowerShell, Bash).
Знания о построении системы защиты объекта Детальные. Знает парольную политику, топологию сети, места хранения резервных копий, настройки межсетевых экранов, схемы размещения датчиков физической охраны.
Преследуемые цели Корыстные интересы (продажа информации), месть руководству, самоутверждение («борьба с системой»), устранение коллег-конкурентов.
Характер действий Скрытный, продуманный. Действия маскируются под легальную активность или технические сбои. Возможно удаление логов аудита.
Глубина проникновения Максимальная. Имеет физический доступ к серверным комнатам и логический доступ на уровне администратора домена или root к ключевым серверам.
---
4. Контрольные вопросы
1. Что такое модель нарушителя информационной безопасности?
Это формализованный или неформальный набор предположений (профиль) об одном или нескольких возможных нарушителях, описывающий их квалификацию, технические и материальные средства, мотивацию и возможные цели атак.
2. С какой целью строится модель нарушителя?
Для построения адекватной и эффективной системы защиты информации. Модель позволяет определить, от кого именно нужно защищаться, и исходя из этого выбрать соответствующие меры и средства защиты.
3. Какова методика построения модели?
Методика включает сбор данных (от службы безопасности, анализ инцидентов, данные о конкурентах), оценку технических возможностей злоумышленника, определение его потенциала (низкий, средний, высокий) и классификацию (внутренний/внешний, цели, уровень знаний и т.д.).
4. Что такое потенциал нарушителя?
Это совокупная характеристика возможностей нарушителя по реализации угроз. Разделяется на низкий (использование только общедоступной информации), средний (анализ ПО, поиск уязвимостей, привлечение специалистов) и высокий (внедрение аппаратных/программных закладок, возможности спецслужб).
5. По каким основным критериям производится классификация?
· По отношению к объекту (внутренние/внешние).
· По уровню знаний.
· По используемым методам и средствам.
· По времени воздействия.
· По месту осуществления воздействия.
6. Какие классы нарушителей наиболее опасны для конкретной ИС?
Для исследуемой ИС наиболее опасны внутренние нарушители с высоким уровнем полномочий (такие как администраторы и работники службы ЗИ в Варианте 8). Они обладают легитимным доступом, знают «слабые места» системы защиты и могут нанести несоизмеримо больший ущерб, оставаясь незамеченными долгое время.
Вывод по работе
В ходе работы была изучена методика построения модели нарушителя. Для работника службы ЗИ (вариант 8) был определен средний/высокий потенциал и выполнена классификация как внутреннего нарушителя с максимальными возможностями по доступу и знаниям о системе. Построена табличная модель, отражающая его характеристики. Наиболее опасным для данной ИС признан именно внутренний легальный пользователь с административными привилегиями, так как он способен обойти большинство стандартных защитных механизмов.