https://pastein.ru/t/hGy
Загрузка данных
Вот выполненная практическая работа №5 для 8 варианта (Работник службы защиты информации предприятия) на основе вашего отчета по ПР №4.
Тема: Модель нарушителя информационной безопасности
Объект защиты: Служба сигнализации и связи (ДИТИ НИЯУ МИФИ / Железнодорожная автоматика)
---
1. Классификация и потенциал нарушителя
Нарушитель: Работник службы ЗИ предприятия (Специалист по ИБ / Администратор безопасности).
Потенциал нарушителя: СРЕДНИЙ (переходящий в ВЫСОКИЙ по отдельным компонентам системы).
Обоснование: Данный сотрудник обладает легитимным доступом к средствам защиты информации (СЗИ), ключам шифрования и журналам аудита. Он имеет возможность обходить настроенные им же ловушки и анализировать код специализированного ПО (прошивки контроллеров СЦБ, системы ДК).
Классификация по категориям:
1. По отношению к объекту: Внутренний (легальный пользователь с максимальными привилегиями в части безопасности).
2. По уровню знаний: Высокий. Обладает детальными сведениями о средствах и механизмах защиты, знает уязвимые места инфраструктуры (места подключения к релейным шкафам, пароли, схемы резервирования).
3. По времени воздействия: В процессе хранения и обработки данных (модификация настроек СЗИ в нерабочее время).
4. По месту осуществления: Доступ на охраняемую территорию, прямой физический и логический контакт с серверами ДК и контроллерами СЦБ.
---
2. Модель нарушителя информационной безопасности
В качестве объекта защиты используется Информационная система Службы сигнализации и связи (СЦБ), описанная в отчете по ПР №4.
Характеристика Описание для нарушителя (Работник службы ЗИ)
Вычислительная мощность технических средств Использование штатных рабочих станций и серверов предприятия (достаточно для запуска снифферов трафика или скриптов модификации конфигураций).
Доступ к интернету, тип каналов доступа Доступ в технологическую сеть передачи данных (СПД) предприятия, возможен выход в Интернет через прокси-сервер организации. Имеет доступ к закрытым каналам ДК и ВОЛС.
Финансовые возможности Низкие. Действует в рамках личной инициативы, без привлечения стороннего финансирования. Использует служебное положение.
Уровень знаний в области IT Высокий в области администрирования ОС, сетевой безопасности и, главное, специфический в области протоколов СЦБ и работы релейно-микропроцессорных систем.
Используемые технологии Штатные средства администрирования ОС, утилиты для работы с реестром, средства управления межсетевыми экранами, знание недокументированных возможностей (инженерных входов) в контроллеры.
Знания о построении системы защиты объекта Полные. Знает расположение всех критичных активов, схемы парольной защиты, регламент смены ключей шифрования, места хранения резервных копий прошивок.
Преследуемые цели Сокрытие следов собственной некомпетентности или халатности; месть руководству; корыстный интерес (шантаж или продажа ключей шифрования каналов связи).
Характер действий Скрытный, тщательно спланированный. Удаление записей в журналах аудита безопасности перед атакой.
Глубина проникновения Максимальная. Доступ к ядру системы защиты (серверам аутентификации), возможность физического воздействия на релейные шкафы и кроссовое оборудование под видом плановой проверки.
3. Контрольные вопросы
1. Что такое модель нарушителя информационной безопасности?
Это формализованное описание предположений о возможностях, квалификации, мотивации и технической оснащенности потенциального злоумышленника, направленное на адекватный выбор мер защиты.
2. С какой целью строится модель нарушителя информационной безопасности?
Для определения актуальных угроз и выбора пропорциональных мер защиты. Нельзя построить защиту «от всего», защита строится от конкретного, самого опасного для данного объекта нарушителя.
3. Какова методика построения модели нарушителя информационной безопасности?
Сбор данных об объекте защиты → Анализ возможных субъектов атаки → Классификация нарушителя (внешний/внутренний) → Оценка его потенциала (низкий/средний/высокий) → Заполнение профиля нарушителя по характеристикам (цели, знания, доступ).
4. Что такое потенциал нарушителя информационной безопасности?
Это совокупность ресурсов (финансовых, интеллектуальных, аппаратных), которыми располагает нарушитель для реализации угрозы. Выделяют низкий, средний и высокий потенциал.
5. По каким основным критериям производится классификация нарушителей?
По отношению к объекту (внешние/внутренние), по уровню знаний (дилетант/профессионал), по целям (любопытство/корысть/террор), по характеру действий (активные/пассивные).
6. Какие классы нарушителей являются наиболее опасными для данной информационной системы?
Для системы СЦБ наиболее опасен внутренний нарушитель с высоким уровнем привилегий (администратор, инженер-программист СЦБ, специалист по ЗИ). Это связано с тем, что для аварии на железной дороге не нужно взламывать сложную криптографию снаружи, достаточно легально войти в систему и изменить логику работы реле или отключить контроль целостности канала связи.
4. Вывод по работе
В ходе практической работы была изучена методика построения модели нарушителя информационной безопасности. Для 8 варианта (Работник службы ЗИ) был определен средний/высокий потенциал угрозы применительно к объекту Службы сигнализации и связи. Построенная модель показала, что штатный специалист по защите информации является одним из самых опасных субъектов атаки, так как обладает не только техническими знаниями о системе, но и знанием уязвимых мест в самой защите и доступами к критическим активам (ключи шифрования радиоканалов, серверы диспетчерского контроля). Защита от данного типа нарушителя требует внедрения усиленного контроля целостности журналов событий и разграничения прав доступа даже для администраторов безопасности.