Тема 1: Информация как объект защиты

Учебные вопросы:
1. Ценность информации.

2. Тайна информации.
3. Доступ к информации
1. Ценность информации.
Обрабатываемая в информационных системах информация бывает ценной независимо от
происхождения.
Ценность — свойство информации, определяемое степенью ее
пригодности к практическому использованию в различных областях
целенаправленной деятельности человека.

Полезность
Актуальность
в —
Объективность

Ценность — интегральное свойство, слагаемыми кото рого являются:

И ООО

Достоверность Целостность
@ @е @
оступность
Конфиденциаль
НОСТЬ
Нарушение любого свойства информации приводит к определенным потерям (ущербу), имеющим
различный характер и различное выражение:
денежные;
материальные;
репутационные (моральные);
технические и др.
Все они в конечном счете могут быть выражены

Информационные активы требуют защиты

Для защиты информации необходимы затраты определенных сил и средств.

В денежном выражении затраты на защиту не должны превышать

возможные потери.

Не всегда возможно и необходимо давать денежную оценку ценности информации (личная,

политическая, военная, служебная).

В этом случае сравнивают ценность отдельных информационных элементов между собой с

использованием разрабатываемых порядковых шкал ценностей (качественных).
Пример: очень высокая — высокая — средняя — низкая - незначительная
Ценность информации определяется экспертами, и относится к различным уровням
критичности.
В этом случае документам, отнесенным к некоторому уровню по шкале, присваиваются
соответствующие грифы (пометки) секретности.
Грифы секретности образуют порядковую шкалу.
Более высокий класс имеет более высокую ценность, следовательно — более
высокие требования по защите.

Примеры порядковых шкал ценностей:

- Секретно - Совершенно секретно —- Особой важности;

- Конфиденциально — Строго конфиденциально — Абсолютно конфиденциально и др.

Автоматизированная обработка информации с использованием ИТ требует более детальной

классификации ценности с позиции определения прав доступа пользователя в
информационному активу (файл, папка, диск, массив, база данных и др.).
В РФ исторически сложился подход к классификации государственной
информации по уровням требований к ее защищенности основанный на оценке и обеспечении
только одного свойства информации - конфиденциальности (секретности).
Требования к обеспечению целостности и доступности информации учитываются лишь
косвенно среди общих требований к системам обработки, а остальные — практически не
учитываются.

Логика: если к информации доступ имеет только узкий круг доверенных лиц, то вероятность ее
искажения (несанкционированного уничтожения) незначительна.

Данный подход не подходит для информации, где степень конфиденциальности и доля

конфиденциальной информации незначительна.

Считается, что оценка и обеспечение других свойств ценности информации не является

задачей большинства систем ее обработки за исключением специально разработанных для
оценки непротиворечивости, релевантности, достоверности и др. (например, поисковые
системы Интернет, аналитические информационные системы).
2. Тайна информации.

Тайна - это охраняемые законом конфиденциальные и секретные сведения в области

частной жизни граждан, предпринимательской, финансовой, политической,
экономической, военной и иных сферах, известные или доверенные определенному
кругу лиц в силу их профессиональных, служебных и иных обязанностей, незаконное
получение, использование, разглашение которых причиняет вред или создает угрозу
причинения вреда правам и законным интересам граждан, общества, государства и влечет за
собой ответственность виновных лиц в соответствии с действующим законодательством.

тайн. Некоторые дублируют, пересекаются друг с другом и обозначают одно и тоже и не

имеют особого значения:
врачебная, медицинская;
банковская, кредитных организаций
врачебная, медицинская, личная, персональные данные;
тайна следствия, тайна следствия и судопроизводства;
- тайна исповеди.
Информация, к которой нельзя ограничивать доступ: (установлено законодательно)

- нормативным правовым актам, затрагивающим права, свободы и обязанности

человека и гражданина, а также устанавливающим правовое положение организаций и
полномочия государственных органов, органов местного самоуправления;
- информации о состоянии окружающей среды;
- информации о деятельности государственных органов и органов местного
самоуправления, а также об использовании бюджетных средств (за исключением сведений,
составляющих государственную или служебную тайну);
- информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также
в государственных, муниципальных и иных информационных системах, созданных или
предназначенных для обеспечения граждан (физических лиц) и организаций такой
информацией;
- иной информации, недопустимость ограничения доступа к которой установлена
федеральными законами.
3. Доступ к информации.

Это определенный тип взаимодействия объекта и субъекта информационных отношений, в

результате которого создается (возникает) направленный поток информации.

Субъект доступа запрос Объект доступа

(информационных | аа еЙ( ед сК) М (информационных
отношений) отношений)

Пользователь Информационный актив

Субъект доступа - активный компонент системы, который может стать причиной потока
информации от объекта к субъекту или изменения состояния системы (пользователь,
процесс, прикладная программа и др.)
Объект доступа - пассивный компонент системы, хранящий, принимающий или
передающий информацию (файл, каталог и др.).
В автоматических (автоматизированных) информационных системах один и тот же компонент
может являться и субъектом, и объектом доступа.
Например:
- приложение, запускаемое пользователем системы, является объектом доступа для
данного пользователя;
- если же само приложение (объект) инициирует считывание файла, то при этом приложение
выступает в роли субъекта.

Виды доступа:
Санкционированный - это вид доступа, не нарушающий установленные правила
ограничения (разграничения) доступа, предназначенные для регламентации прав доступа
субъектов к объектам доступа.
Несанкционированный (НСД) - это вид доступа, нарушающий установленные правила
ограничения (разграничения) доступа. Субъект, осуществляющий НСД, является нарушителем
правил разграничения доступа.

НСД -— наиболее распространенный вид нарушений безопасности информации

(преступлений в информационной сфере).
 Любая современная информационная система (технология) вынуждена
функционировать в условиях существования утроз безопасности
различной природы возникновения

Тема 2: Угрозы безопасности информации

Учебные вопросы:
1. Понятие угрозы безопасности информации.
2. Классификация угроз.
3. Моделирование и разработка модели угроз.
1. Понятие угрозы безопасности информации.
А) Угроза «информационной безопасности» — это потенциальная
возможность нарушения режима информационной безопасности.

Б) Под угрозой безопасности информации в системах ее обработки

принято понимать меру возможности возникновения на каком-либо
этапе функционирования системы такого явления или события,
следствием которого могут быть нежелательные (деструктивные)
воздействия на информацию.

В) Угроза безопасности информации -— это потенциально

возможное воздействие на информационную систему (актив)
государственных и муниципальных органов, организаций различных
форм собственности или отдельных граждан в результате
деструктивного воздействия которого наступает ущерб интересам
обладателям (владельцам) этих систем (активов).

Характер воздействий может быть самым разным!!!

®
К настоящему времени известно большое количество угроз
различного происхождения, таящих в себе различную опасность для
информации.

ИА

ИС организации

Организация

Внешняя среда

Необходимо упорядочить (классифицировать) !!!

Преднамеренная реализация угрозы называется атакой на

информационную систему (актив).
Лица, преднамеренно реализующие угрозы, являются
злоумышленниками.
2. Классификация угроз.
Классификация осуществляется в соответствии с некоторыми
признаками или параметрами (реализаций достаточно много!!!).

Признаки классификации угроз безопасности информации:

По
По характеру
расположению
воздействия
источника угроз

По
По компонентам
составляющим
ИС
ИБ
Классификация угроз безопасности информации По характеру
воздействия

Преднамеренные
Случайные воздействия
воздействия

Случайные (непреднамеренные) Преднамеренные воздействия — это

воздействия — это различные целенаправленные действия
воздействия на информацию, злоумышленника (служащий, посетитель,
возникающие на всех этапах конкурент, «наемник»).
жизненного цикла системы
Причины: Мотивы:
* аварийные ситуации из-за * недовольство (неудовлетворенность)
стихийных бедствий и отключений служебным положением;
электропитания (природные и * любопытство;
техногенные воздействия); * конкурентная борьба;
* отказы и сбои аппаратуры; › уязвленное самолюбие;
* ошибки в программном * жажда самореализации (синдром
обеспечении; Герострата);
* ошибки в работе персонала;

.
о |
(®)
(@)

(@)
ке)
=
®

=
т

<<
т
* помехи в линиях связи из-за
воздействий внешней среды.
®
 Ш [е)
Классификация угроз безопасности информации
расположению
источника угроз

Внешние Внутренние

Внешние угрозы — источник Внутренние угрозы — источник

воздействия на информацию воздействия на информацию располагается
располагается вне контролируемой в пределах контролируемой зоны
зоны организации и ее организации и ее информационной системы
информационной системы и инициируются человеком
Виды: Виды:
перехват данных, передаваемых по установка и использование
каналам связи; подслушивающих устройств;
перехват побочных * хищение информации (документы);
электромагнитных, акустических и * хищение источников информации
других излучений устройств; (съемные носители, мобильные
перехват наводок в линиях связи, устройства);
питания, возникающих в процессе хищение результатов (образцов)
работы аппаратуры ИС. продукции, производства.
 По
Классификация угроз безопасности информации составляющим
ИБ

Нарушение
Нарушение целостности Нарушение доступности
конфиденциальности

Направлены
на Направлены
на Направлены
на
разглашение изменение или искажение снижение
конфиденциальной или информации приводящее к работоспособности
секретной информации. нарушению ее качества или ИС (АС), либо
При реализации этих полному уничтожению. прекращение
угроз информация Целостность информации доступа к
становится известной может быть нарушена некоторым ее
лицам, которые не умышленно, а также в ресурсам «Отказ в
должны иметь к ней результате объективных обслуживании
доступ. воздействий со стороны (Рета! о? 5егмсе)».
т.е. реализован НСД к среды, окружающей систему. Блокирование
информации Особенно актуальна для доступа к ресурсу
ограниченного доступа, систем передачи может быть
хранящейся в ИС или информации, ПОСТОЯННЫМ ИЛИ
передаваемой от одной компьютерных сетей и систем временным.
ИС К другой. телекоммуникаций.
Классификация угроз безопасности информации По компонентам
ИС (АС)

Программное
Человек (исег, дие5!) Аппаратура
обеспечение

Виды: Виды: Виды:

хищение информации перехват паролей; подключение
(документы); сканирование специально
хищение источников (прослушивание) разработанных
информации (съемные трафика; аппаратных средств,
носители, мобильные расшифровывание обеспечивающих
устройства); зашифрованной доступ к информации
хищение результатов информации; (аппаратные
(образцов) копирование закладки);
продукции, информации с перехват побочных
производства; носителя. электромагнитных
Чтение + излучений от
запоминание аппаратуры, линий
информации (экран связи, сетей
монитора, электропитания.
клавиатура,
документы).
3. Моделирование и разработка модели угроз.

Для каждой организации перечень угроз безопасности

информации представляется если не уникальным, то
индивидуальным.
Особенность перечня угроз определяется:
= перечнем информационных активов;
= характером и свойствами информации;
= свойствами ИС (архитектура, топология,
распределенность, масштабы, информационные
технологии и др.);
* количеством и «качеством» персонала;
чё наличием и «квалификацией» потенциального нарушителя
(злоумышленника);
= перечнем применяемых средств защиты информации;
= уровнем общего руководства (менеджмента) и
менеджмента ИБ.
Перечень угроз, характерных для конкретной
организации входит в полный (по состоянию на
определенное время) перечень угроз
безопасности информации.

- информационный ресурс Федеральной службы по

техническому и экспортному контролю России
(ФСТЭК России), который называется — Банк
данных угроз безопасности информации ФСТЭК
России (БДУ).

По состоянию на 10.09.2021 г. в нем есть

описание 222 угроз. (у ваших предшественников
— 217, годом ранее - 214!!!!)
 Государственный научно-исследовательский испытательный институт
проблем технической защиты! информации
ФАУ «ГНИИ ПТ ЗУ ФС

Участники = ФСТЭК России

Эпементы с 1 по 10 из 2
ФИЛЬТРАЦИИ ИЗМЕНЕНИЯ
тный обиск 00 назваееню угрозы матичек кого илеотс
распространения 3вредоносного када в грид-систяме
) Угроза обжода многсхфансторной эпутннтнфинануюи

Источник утра „роза эгрегирсаения данных УБИ 212 утраза перехвата упрапленмя информационной
Системой
[чую миожстннныавыно |] роза
УБИ_ 211 Угроза исокиь ваний непроверенных
Последствия ревлнуации угрозы
пользовательских данных при формировании
норушение «опфиденциальности В у 3 „роза
у: эплервтногс
эратнс кондигурационного файла. истользуемого программным
обе печнониюм админы трярования инфхмационных Ся том
Нарушение целостности @
роза внедрения вредоног ного к
УБИ. 2 роза марушеныя работы ехрормационной
Нарушение доступности @ системы, вызванного обновлением ислользуемого в ней
не „роза внедрения кода или данных программного обеслечетий
Прана ть
УБИ. 209 Угроза несанеционярованного доступа к
вия на программы с высокмын привитпегиями защищаемой памити пдра процессора

„роза восстансяпения вутентирикационной инкрормации УБИ. 208 угроза нецелевого испопьзожания вычислительных
ресурсов средства вычислительной технию!

роза вос(тановляни ыдущей уязаниой версмы В

УБИ_ 207 Угроза несанищиомирован
яаревистрам мастройся 9
«мя одов» (инженернь
а процесса за пре дегь ВИртузРЬнОй маши

УБИ. 205 Угроза отказа в работе оборудования из-за

эсмемненыи теопоядационной имеармациы с нем
УБИ.093: Угроза несанкционированного управления буфером
(шифр) (название)

Описание Угроза заключается в возможности осуществления нарушителем

угрозы несанкционированного доступа к данным, содержащимся в буфере
обмена, в интересах ознакомления с хранящейся там информацией или
осуществления деструктивного программного воздействия на систему
(например, переполнение буфера для выполнения произвольного
вредоносного кода).
Данная угроза обусловлена слабостями в механизме разграничения
доступа к буферу обмена, а также слабостями в механизмах проверки
вводимых данных.
Реализация данной угрозы возможна в случае осуществления
нарушителем успешного несанкционированного доступа к сегменту
оперативной памяти дискредитируемого объекта, в котором расположен
буфер обмена
Источники * Внутренний нарушитель с низким потенциалом
угрозы * Внешний нарушитель с низким потенциалом
Объект Системное программное обеспечение, прикладное программное
воздействия обеспечение, сетевое программное обеспечение
Последствия * Нарушение конфиденциальности
реализации * Нарушение целостности
угрозы * Нарушение доступности
Работа по выявлению и описанию угроз безопасности информации
для конкретной организации достаточно объемна и сложна,
поэтому для каждой из них реализуется индивидуально
посредством разработки документа, называемого Модель угроз
безопасности информации.

Модель угроз безопасности информации — это физическое,

математическое, описательное представление свойств или
характеристик угроз безопасности информации в интересах
некоторой организации (отрасли) или определенного вида
информационных активов.

Пользоваться БДУ непосредственно также достаточно сложно

(см. пример), поэтому в государственных органах (организациях),
ответственных за обеспечение информационной безопасности в
отраслях и РФ в целом, а также в интересах некоторых видов
информации, определенных законодательством РФ создаются
БАЗОВЫЕ, ЧАСТНЫЕ, ТИПОВЫЕ МОДЕЛИ УГРОЗ, которые
сопровождаются перечнями разделов и рекомендациями по
разработке.
Примеры моделей угроз информационной безопасности:

ч Базовая модель угроз безопасности персональных

данных при их обработке в информационных системах
персональных данных;
чё Базовая модель угроз безопасности информации в
ключевых системах информационной инфраструктуры;
= Типовая модель угроз безопасности персональных
данных при их обработке в системе обеспечения вызова
экстренных оперативных служб по единому номеру «112»;
= Отраслевая частная модель угроз безопасности
персональных данных при их обработке в
информационных системах персональных данных
организаций банковской системы Российской Федерации.
 Наличие угроз безопасности функционирования информационных
(автоматизированных) систем не является единственным условием их реализации (атаки)

Тема 3: Уязвимости информационных

(автоматизированных) систем

Учебные вопросы:
1. Понятие уязвимости в информационной безопасности.
2. Природа возникновения и классификация уязвимостей.
3. Практическая работа с уязвимостями (информацией об
уязвимостях).
1. Понятие уязвимости в информационной
безопасности.
А) Уязвимость (в информационной безопасности) — это недостаток или
слабость в информационной системе, которые могут быть
использованы при реализации атаки на защищаемую информацию.

Б) Уязвимость -— это совокупность условии и факторов, создающих

потенциальную или реально существующую опасность
нарушения безопасности информации.

В) Уязвимость информации - это любое нарушение установленного

статуса и требуемого уровня ее защищенности, т.е. событие,
возникающее как результат такого стечения обстоятельств, когда в
силу каких-то причин используемые в СОД средства защиты не в
состоянии оказать достаточного противодействия проявлению угроз
нежелательного их воздействия на защищаемую информацию.

Уязвимость означает существование условия (ий) для

„воздействия на информационные активы.
Причины возникновения уязвимостей:

в Ошибки в проектировании и разработке программного (программно-

аппаратного) обеспечения;
в Преднамеренные действия по внесению (созданию, организации)
уязвимостей при разработке программного (программно-аппаратного)
обеспечения;
в Неправильная настройка ПО, неправомерное изменение режимов
работы устройств и программ;
@в Установка и использование неучтенных программ
(нелицензионное, «самодельное», устаревшее...);
® Внедрение вредоносного ПО, использующего уже имеющиеся
уязвимости;
в Неумышленные (ошибочные) действия пользователей;
в Сбои в работе программного (программно-аппаратного)
обеспечения, вызванные нарушением электропитания, выходом из
строя в связи с естественными причинами (старение, «жесткая»
эксплуатация, воздействие ЭМ излучений и полей.
Пример взаимосвязи уязвимостей, относящихся к персоналу
организации и возможных к реализации при этом угроз
Уязвимость Угроза, которая может возникнуть и быть
реализована
Недостаточное обучение безопасности Ошибка персонала технической поддержки

Неосведомленность в вопросах ИБ Ошибка пользователя ИС

Отсутствие проверки и контроля за Несанкционированное (неправильное) использование

работой в ИС ПО
Отсутствие правил в области Несанкционированное (нецелевое) использование
использования средств сетевого оборудования
телекоммуникаций и передачи
сообщений
Отсутствие правил отмены прав доступа — НСД к активам
при увольнении
Отсутствие порядка возврата активов Кража активов
при увольнении
Наличие немотивированного и Злоупотребление средствами обработки информации
недовольного персонала
Безнадзорная работа внешнего Кража активов
персонала и работающего в нерабочее
время
2. Классификация уязвимостей.

В основе классификации уязвимостей ИС используются следующие

классификационные признаки: (реализаций достаточно много!!!).

Классификационные признаки уязвимостей ИС:

Тип уязвимости Место

уязвимости в ИС

Преднамеренность
Тип компонента внесения
ИС, содержащего уязвимости
уязвимость

Этап жизненного
цикла ИС с
уязвимостью
Классификация уязвимостей ИС Тип уязвимости

Уязвимости в Уязвимости в
Уязвимости в инженерно-
организационно- программно-аппаратном
техническом обеспечении
правовом обеспечении обеспечении
Уязвимости, имеющиеся Уязвимости, имеющиеся Уязвимости, имеющиеся
(возникающие) в ИС в (возникающие) в ИС в (возникающие) в инфраструктуре
связи с недостатками в связи с недостатками в ИС в связи с недостатками в
нормативной ее программно- оборудовании территорий,
регламентации и аппаратной части. зданий, помещений, а также в
практической реализации Причины: средствах защиты каналов утечки
процессов управления * Сложность ПАО; информации.
безопасностью в * Зависимость Причины:
организации. отечественных ИС от * Сложность инфраструктуры
Причины: импортного ПАО; (масштабы, распределенность,
Несовершенство Большое количество и уникальность);
нормативной базы; доступность * Техническая сложность
Количество требований вредоносного ПО и мероприятий обеспечения
безопасности; возможностей его безопасности;
Вновь появляющиеся распространения; * Отрицательное влияние
задачи (направления) Наличие недостатков в защитных мероприятий на
ИБ; разработке и бизнес-процессы;
Новые угрозы ИБ; реализации защитного * Высокие затраты на реализацию
Изменения в обществе ПО
Классификация уязвимостей ИС Место
уязвимости в ИС

УЯЗВИМОСТИ в Уязвимости в системном Уязвимости в прикладном

аппаратуре ИС ПО ПО

Уязвимости, имеющиеся Уязвимости, имеющиеся Уязвимости, имеющиеся

(возникающие) в ИС в (возникающие) в ИС в связи с (возникающие) в ИС в связи с
связи с недостатками в недостатками в системном — недостатками в
аппаратной части программном обеспечении. прикладном программном
оборудования. обеспечении.

Причины: Причины: Причины:

См. следующий слайд * Сложность операционных * Сложность программных
систем (утилит, служебного комплексов прикладного
ПО) как программного назначения;
комплекса; * Значительная зависимость
* Практически полная от импортных программных
зависимость от импортных разработок;
программных разработок; * Подробное описание и
* Подробное описание и доступность наиболее
доступность известных популярных прикладных
уязвимостей (\Мпаоуу) программных платформ
Классификация уязвимостей ИС
Тип компонента
ИС, содержащего
уязвимость

Уязвимости в сетевом
Уязвимости в рабочих Уязвимости в серверном
оборудовании и каналах
станциях оборудовании
СВЯЗИ

Уязвимости, имеющиеся (возникающие) в ИС в связи с недостатками в аппаратной

части оборудования.

Причины:
* Возможность физического доступа персонала (злоумышленника) к элементам
аппаратуры ЭВТ;
* Зависимость аппаратных платформ ЭВТ, сетевого оборудования и аппаратуры связи
от иностранных технологий (аппаратные закладки);
* Сложная природа возникновения, распространения и контроля ПЭМИН при работе
ЭВТ и др. устройств;
* Недостатки в правильной организации эксплуатации ЭВТ и др. устройств
(вентиляция, кондиционирование, пожарная безопасность);
 Этап жизненного
Классификация уязвимостей ИС цикла ИС с
уязвимостью

Уязвимости Уязвимости Уязвимости

проектного этапа технологического этапа эксплуатационного этапа

Уязвимости, Уязвимости, Уязвимости, возникающие в ИС

возникающие в ИС в возникающие в ИС в в связи с ошибками,
связи с ошибками, связи с ошибками, допущенными (появившимися)
допущенными при допущенными при ее эксплуатации.
проектировании. (появившимися) при ее
Причины: разработке. Причины:
* Неправильная * Ошибки в установке ИС;
(некачественная) Причины: * Ошибки в наладочных работах;
разработка технического * Применение * Ошибки в настройках и
задания; неправильно выбранной администрировании ИС;
* Неправильный выбор технологии разработки; * Ошибки в настройках и
технологии разработки; администрировании средств
* Неправильная обеспечения безопасности;
(некачественная) * Ошибки, связанные с
привязка к целям и прекращением эксплуатации ИС
бизнес-процессам (утилизацией)
организации
Неправильный учет
угроз ИБ
Классификация уязвимостей ИС Преднамеренность
внесения
уязвимости

Уязвимости, внесенные Уязвимости, внесенные

преднамеренным путем непреднамеренным путем

Уязвимости, возникающие в ИС в Уязвимости, возникающие в ИС в связи с

связи с ошибками, целенаправленно ошибками, допущенными на этапах ее
допущенными на этапах ее жизненного жизненного цикла, но носящими случайный
цикла. характер и не связанных с
целенаправленной деятельностью.
Причины:
* Отсутствие или неправильная Причины:
организация контроля; * Отсутствие или неправильная
* Неумение организовать режим организация контроля;
безопасности информации; * Неумение организовать режим
* Игнорирование части угроз; безопасности информации;
* Коррупционные мотивы * Неумение разрабатывать качественные
нормативные документы;
* Низкий уровень подготовки специалистов
ИБ;
* Низкий уровень осведомленности
сотрудников в вопросах ИБ; В
* Низкий уровень мотивации сотрудников
3. Практическая работа с уязвимостями (информацией об
уязвимостях).

Можно выделить ряд направлений деятельности по

обеспечению ИБ, где в явном виде используются
уязвимости (информация о них):
№ Исследовательская работа по поиску новых и
исследованию обнаруженных уязвимостей в программной
среде (тестировщики программных продуктов, поддержка
ведущих вендоров);
= Поддержка информационных ресурсов (баз данных) по
уязвимостям;
= Результаты деятельности позитивного или «белого»
хакинга. Соревнования СТЕ, РНО и др.
= Противоправная деятельность в области ИТ и ИБ:
вредоносное ПО, взлом, кража информации,
распространение противоправной информации.
Перечень баз уязвимостей
Наименования Адрес
Открытые базы уязвимостей
Компанию МИТЕВЕ и её база «Общие уязвимости и ПпНр://суе.тйге.ога/Ча{а/домпоад5/аИет5.
И!
воздействия» (Соттоп\/шипегари!незвапаЕхрозигез — С\/Е)

Национальный институт стандартов и технологий ПпНрз://пуа.п!5! доу/аому/тюаа. сЁт

(Майопайп5! ео! апаагазапаТесппо!юду — №$Т) и его
Национальная база данных уязвимостей (Манопа!
Ушпегабинез Оа{абазе — №0)

Открытая база данных уязвимостей» (Орепбоигсе ПпНрз://б10д.05мар.ога/201 4/03/

У/шпегаби!у Оа!абазе — ОЗ\/ОВ)

Группа чрезвычайного компьютерного реагирования США ПНрз:/Лумуми.и5-сетй.дом/

(Чпиеа За!1е Сотриег Етегдепсу Веафйтпез5 Теат — 5-
СЕВТ) с Базой данных записей уязвимостей (\ипегаБику
Мо!е5 Оа!абазе — \/№))
Проект Зесиг!уЕоси$ и его база уязвимостей ВидТгач ПпНр:/Аумуму
весит уТоси5.сопуЫа

Компания ВМ с базой уязвимостей Х-Еогсе ПНр:/Лууму-ОЗ лЬт. сопубесигту/хТогсе/гезоигсез.

Пт а!

ФСТЭК Российской Федерации База данных уязвимостей ПНр:/Лумуму. Баи.Т5!ес.ги/уи!

Лаборатория бесигтуГ
аб и его база уязвимостей ПпНр:/Лумуму весигутар.ги/уштегаБину/раде! _1.рпр

С15со бесигт!у Аамзопез апа Везропзе5 ПНрз:/Ло0!5.с15со.сопузесигтту/сет!егрибИсаноп

Н5Нпа.х

бойумаге Епдтееппа !пУШие ПИрз:/Лммуму.

КБ. сет! ога/уи!5/БурибИ$пеа/?
\\/Р5сап \/шпегаБ!!у Оа!абазе Пир: /Луруштпаб.соту/
Коммерческие (закрытые) базы уязвимостей
Компания бесита Пр:/Лумуму. Нехегазоймаге.сопуетегризе/ргоаис!
5 /зойухаге -
ушпегаб!!у-тападетепУушпегаБиНу-ттетаепсе-тападег/
С О
МОРЕМ беситу ПНрз://5510.оуп.пе!неп/
Перечень уязвимостей, характерных для конкретной
ИС организации входит в полный (по состоянию
на определенное время) перечень уязвимостей,
который существует в информационном ресурсе
Федеральной службы по техническому и
экспортному контролю России (ФСТЭК России),
который называется — Банк данных угроз
безопасности информации ФСТЭК России (БДУ).

По состоянию на 11.09.2020 г. в нем есть

описание 28633 уязвимостей. (За два года +
>10000 уязвимостей — следовательно....)
 Федеральная служба по техническому и экспортнему контролю Государственный неучночкслодовательский испытательный институт:
ФСТЭК России
проблем технической защиты информации
ФАУ «ГНИИЙ ПТЗИ ФСТЭК России»

Обновления Участниюи | ФСТОЖ Россия

Главнай
Выгодить по 0 “10 элементы с 1 по *
ФИЛЬТРАЦИЯ ПОСЛЕДНИЕ ИЗМЕНЕНИЯ

Контеястный понсхпо названию укзнимоста уОвНМуЬ

3 {< с поурацинут ого п
0 информа упраяления произ: Унзвимость ОРС-сервера Ехаорс, программного пажета
обработки стазист й информации Ехаркх, системы
вол дктва оценки качества Ехагое. г спечения для сохранения дамны управления производственными данными Ехадиатит,
Производитель ПО
дополнительными харэстеристисами 0, программного средгтва составления программного обеспечения для анализа данных
у 2 1070, ЧТО РуТЬ ‹ кепОЛНяемОМ)
БхадиальлтиВаки, набора программных пакетов дла
ная нарушителю)
многовараметрической оптимизации и упразлемия Ехаэткх;
Тип ПО
программного средства оценки качества Ехалуе,
программного обеспечения для сохранения данных с
дополнительными характеристиками СА10. программно
ера Рейх 25. позволяющая гавлений отчетов о производительност
‹защищеемси инфориации
иЗШЙЕАЕ,, существующая из-за того, что путь к
ислолевемому файлу службы ве заклоч Б кавычки И
содержит пробелы, | оЗВОпяюЩщая нарушителя ПОВЫСИТЬ СВОЙ.

привялегяи м выполнить произвольный код,

уязвимость параметра «слайе Адобе Назй риойес1е0 поде» плагина Афоде 145!) браузера
Аиеох ЕЗЯ, позваляйщая наду шиталию обойти существующие ограничения бездлаг ности

увзаимость кросс Орауермой системы для разработки

дспопнении \Месбхдетакте бракзера Етейх ЕЗЯ
уязвимость компонента Сот\2т! Зеситу РОВ (52| браузера Риеж Е5Я, поз ГяКЩая позволияущая нарушителя) обойти существующие
ВО0Ч:2018-01119: Уязвимость редактора электронных таблиц М1сгозой Ехсе! пакета программ Мсгозо ОНсе
2016, позволяющая нарушителю выполнить произвольный код в контексте текущего пользователя

Описание уязвимости Уязвимость редактора электронных таблиц М!сгозой Ехсе! пакета программ М1сгозой ОПсе 2016 связана с
ошибками при обработке объектов в памяти. Эксплуатация уязвимости может позволить нарушителю,
действующему удаленно, выполнить произвольный код в контексте текущего пользователя
Вендор М!сгозой Согр.
Наименование ПО Мсгозо ОНсе
Версия ПО +2016 С2К
*2016 Тог Мас
Тип ПО Прикладное ПО информационных систем
Операционные системы и *М!сгозо Согр. \/Мпаомз . хб4
аппаратные платформы *М1сгозой Согр. /Мпаомз . х86
*Арр\е пс. Мас О5.
Тип ошибки Выход операции за границы буфера в памяти
Идентификатор типа ошибки «С\/МЕ-119

Класс уязвимости Уязвимость кода

Дата выявления 11.09.2018
Базовый вектор уязвимости °А\М:Ш/АС:М/Аи: №С:РА:РАА:Р

Уровень опасности Средний уровень опасности (базовая оценка С\/55 2.0 составляет 4,4)
уязвимости Средний уровень опасности (базовая оценка С\/55 3.0 составляет 4,5)
Возможные меры по Использование рекомендаций производителя:
устранению уязвимости АНрз://рога!.тэгс.писгозой.сопу/еп-О5/зесит!у-ашдапсе/адмзогу/С\МЕ-2018-8331
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации *Манипулирование структурами данных

Способ устранения Обновление программного обеспечения

Информация об устранении Уязвимость устранена

Ссылки на источники ПНрз://ропа!.тегс.птсгозой сопу/еп-О5/зеситу-дшаапсе/асм огу/С\/Е-2018-8331

Идентификаторы других «С\/Е: СМЕ-2018-8331
систем описаний уязвимостей

Прочая информация -
При создании Модели угроз безопасности информации
организации уязвимости учитываются и их анализ является
элементом этой модели.

Также раздел об уязвимостях входит в содержание официально

разработанных БАЗОВЫХ, ЧАСТНЫХ, ТИПОВЫХ МОДЕЛЕЙ
УГРОЗ
 Наличие угроз безопасности функционирования, а также уязвимостей в
информационных (автоматизированных) системах не являются
условиями их реализации (атаки) - необходима движущая сила (драйвер),

Тема 4: Моделирование действий нарушителя

информационной безопасности

Учебные вопросы:
1. Основные понятия и классификация нарушителей.
2. Основы моделирования нарушителя ИБ
3. Содержание модели нарушителя.
1. Основные понятия и классификация нарушителей.

дл) Нарушение информационной безопасности организации —

это случайное или преднамеренное неправомерное действие
физического лица (субъекта или объекта) в отношении
активов организации, следствием которого является
нарушение безопасности информации в информационной
(автоматизированной) системе, вызывающее негативные
последствия (ущерб) для организации.
Б) Нарушитель информационной безопасности — это лицо
(группа лиц), предпринявшее неумышленную или
умышленную попытку выполнения запрещенных в ИС (АС)
операций (действий) и использующее для этого различные
возможности, методы и средства.
В) Злоумышленник - нарушитель, намеренно
осуществляющий нарушение из корыстных побуждений.
Контекст нарушителя ИБ:
Нарушитель ИБ реализует угрозу(ы) безопасности, направленную
на деструктивное воздействие на информационные активы
организации, используя свои возможности и имеющиеся в ИС
(АС) организации уязвимости.

Реализуемая угроза
представляет собой
последовательное или Угрозы ИБ ИА
выборочное
преодоление
ИС (АС)
нарушителем Безоп ИС
физических или
виртуальных
периметров
безопасности в И оу ито(о
соответствии с
выбранной стратегией
(вектором атаки).
Классификация нарушителей.
Для определения типа нарушителя с целью получения информации о
его возможностях и последствиях действий осуществляется
классификация нарушителей.

Классификационные признаки нарушителей ИБ:

Отношение к ИС Место
(АС) осуществления
воздействия

Используемые Период воздействия

методы и средства

Уровень подготовки
(знаний)
 Классификация нарушителей ИБ по Отношение к ИС
(АС)

Внутренние Внешние

Кто это: Кто это:

пользователи (операторы) ИС (АС); клиенты;
руководители организации различных посетители;
уровней; представители конкурирующих
администраторы ИС, ВС, ИБ; организаций;
программисты; сотрудники органов ведомственного
сотрудники СБ; надзора и управления;
технический персонал (от уборщицы до нарушители пропускного режима;
инженера); наблюдатели за пределами охраняемой
вспомогательный персонал и временные территории.
работники. Причины:
Причины: безответственность, ошибки;
безответственность; реализация планомерной конкурентной
ошибки пользователей и администраторов; деятельности (промышленный шпионаж);
самоутверждение; провокационная деятельность,
«борьба с системой»; направленная на дискредитацию;
корыстные интересы пользователей системы; - корыстные интересы отдельных групп;
недостатки используемых информационных недостатки используемых ИТ и ИБ.
технологий.
 @ Используемые
Классификация нарушителей ИБ методы и
средства

сбор информации и данных о ИС (АС), ее

пользователях, используемых ИТ и методах защиты
информации в ней;
пассивные средства перехвата отдельных категорий
данных, передаваемых между сегментами ИС (АС) или
между отдельными пользователями (аутентификационная
информация, события ИБ, отдельные сообщения и др.);
использование средств, входящих в ИС (АС) и систему
ее защиты, а также их уязвимостей;
активное отслеживание модификаций существующих
средств обработки информации (аппаратное и ПА
обеспечение, использование специализированных утилит,
внедрение программных закладок и «бэкдоров» в
Систему, подключение к каналам передачи данных.
 Уровень
Классификация нарушителей ИБ по ПОДГОТОВКИ
(знаний)

типовые знания о методах построения вычислительных

систем, сетевых протоколов, использование стандартного
набора программ;
высокий уровень знаний сетевых технологий, опыт
работы со специализированными программными
продуктами и утилитами;
высокие знания в области программирования,
системного проектирования и эксплуатации
вычислительных систем;
обладание сведениями о средствах и механизмах
защиты атакуемой системы;

нарушитель являлся разработчиком (принимал

участие в реализации) системы обеспечения
информационной безопасности. |
 Классификация нарушителей ИБ Период
воздействия
при (в период) обработке информации;
при передаче данных;
в процессе хранения данных (рабочее и нерабочее
состояния системы). Место
осуществления
воздействия
удаленно с использованием (или без) перехвата
информации, передающейся по каналам передачи;
физический доступ к объектам ИС (АС);
непосредственный физический контакт с ВТ (доступ к
рабочим станциям, серверам предприятия, средствам
администрирования, контроля и управления ИС, доступ к
средствам управления системой обеспечения
информационной безопасности.
[]
 2. Основы моделирования нарушителя ИБ
Контекст нарушителя ИБ
Неформальная модель нарушителя отражает его практические
и теоретические возможности, априорные знания, время и место
действия и другие особенности.
Для достижения своих целей нарушитель должен приложить
некоторые усилия, затратить определенные ресурсы.
Исследовав причины нарушений, можно либо повлиять на эти
причины (конечно, если это возможно), либо точнее определить
требования к системе защиты от данного вида нарушений или
преступлений.
В каждом конкретном случае, исходя из конкретной технологии
обработки информации, может быть определена модель
нарушителя, которая должна быть адекватна реальному
нарушителю.
Модель нарушителя — это абстрактное неформальное описание
нарушителя информационной безопасности.
Модель нарушителя определяет:
- категории (типы) нарушителей, которые могут воздействовать
на объекты ИС (АС);
- цели, которые могут преследовать нарушители каждой
категории;
- возможный их количественный состав и профессиональный
уровень;
- используемые инструменты, принадлежности, оснащение;

- типовые сценарии возможных действий, описывающие

последовательность (алгоритм) действий групп и отдельных
нарушителей, способы их действий на каждом этапе и др.
особенности.
Характеристики нарушителя безопасности информации.

Мотивы

||
Игровые действия,
||
Домашний ПК, доступ
шалости, «== Начинающий [ну к ресурсам.
любопытство, глобальн сети

безответственность
Корпоративный +
Месть, реакция на домашний ПК, доступ
действия руководства Специалист |на, к ресурсам
др. умысел глобальной сети +
ПО, языки, среды
программирования
Корысть, продажа
информации, пром. «внаПрофессионал [ни ПК (высокопроизв.),
вонаж, доступ к ресурсам
конкурентная борьба глобальной сети +
° совр. ПО °
 Психологический портрет современного хакера:
Пол — мужской.
Во с

Возраст от 16 до 25 лет.
Национальность — русский.
Семейное положение — не женат.
Образование - среднее общее образование; студент вуза (учащийся СПО),
молодой специалист, недавно получивший высшее (среднее специальное)
образование;
Проживание - городской житель, имеющий постоянное местожительство.
Отношения с законом - совершающий «преступления» неоднократно, из
корыстных побуждений, ранее не судимый.
Характер - неординарная, мыслящая личность, способная принимать
рискованные и оригинальные решения; эмоционально уязвимый; склонен
к самоутверждению и повышению своего социального статуса в рамках
группы окружающих его людей; любит уединение и предпочитает работу с
компьютером публичному общению; предпочитает виртуальное общение.
9. Особенности - учебными занятиями (работой) тяготится, имеет частые
пропуски и опоздания, но при этом много занимается самообразованием.
10.Интересы — наличие (требование) неограниченного доступа к Интернету
(ресурсам корпоративной сети), часто задерживается на работе (в
компьютерной аудитории) после окончания учёбы или рабочего дня.
Обобщенная характеристика основных групп наруитеоя
Характеристика Хакер-одиночка Группа хакеров — Конкуренты Госструктуры,
(интересующийся, спецподразделен
исследователь) ия
ЛВС,
Вычислительная
- использование Мощные Неограниченная
мощность Персональный
чужих вычислительные — [вычислительная
технических компьютер
вычислительных — [сети мощность
средств В
сетей и ресурсов
Использование Самостоятельный
Выделенная линия Собственные
Доступ к интернету, : чужих каналов с „ [контроль над
ограниченной в каналы с высокой и
тип каналов ю ВЫСОКОЙ ю маршрутизацией
пропускной ‚ пропускной
доступа пропускной трафика в
способности способностью
способностью Интернете
Финансовые Большие Практически
Сильно ограничены — |Ограничены
возможности ВОЗМОЖНОСТИ неограниченные
. Высокий,
Уровень знаний в - - В
Невысокий Высокий Высокий разработчики
области 1Т
стандартов
Современные
Доскональные
методы
Поиск новых знания
@ проникновения в
уязвимостей, информационных
Используемые Готовые программы, информационные "Я
изготовление технологий:
технологии известные уязвимости системы и
вредоносных ‚ возможные
воздействия на
программ уязвимости и
потоки данных в
ю недостатки
ней
® @
Характеристика |Хакер-одиночка Группа хакеров Конкуренты Госструктуры,
спецподразделения
Могут предпринимать
Могут предпринимать усилия для получения В процессе сертификации
Знания о Недостаточные знания о усилия для получения нщиПе о системы представители
построении построении представления о госорганов могут получать
- Функционирования
системы защиты информационной принципах системы защиты достаточно полную
объекта системы функционирования ' информацию о ее
внедрять своего
системы защиты построении
представителя в
службу безопасности
Блокировка
Внесение искажений в Функционирования
Преследуемые цели Эксперимент Непредсказуемые
работу системы системы, подрыв
имиджа, разорение
Скрытый или открытый Может не утруждать себя
Характер действий |Скрытый Скрытый ы й й
демонстративный сокрытием своих действий
До момента
Чаще всего
достижения
Глубина останавливается после В Ничего не способно их
поставленной цели или |До победного конца
проникновения первого успешного остановить
появления серьезного
воздействия
препятствия
3. Содержание модели нарушителя
Модель нарушителя является разделом или приложением к модели
угроз ИБ организации.

Модель нарушителя, как правило включает:

- Описание видов нарушителей и их возможностей (например, внешние

и внутренние);
- Описание возможных каналов доступа в ИС(АС) (физические,
общедоступные, технические);
- Описание видов нарушителей с привязкой к организационной-
штатной структуре организации (полномочия);
- Описание возможностей видов нарушителей с использованием
(учетом) имеющихся у них полномочий;
- Определение актуальности каждого из видов нарушителей.
Каждому виду (типу) нарушителей целесообразно присваивать
идентификатор, например №1, №2... или Н1, Н2...
Содержание (примерное) основных разделов модели
нарушителя:
А) Общие положения и контекст нарушителя;
Б) Описание нарушителей и их возможностей;
кто является нарушителем с учетом специфики деятельности
организации или защищаемых ИА (КТ, СТ, ПД, КИИ и др.);
категорирование нарушителей как правило по наличию прав доступа
к объекту, ИС(АС) — 2-3 категории;
описание видов нарушителей и чего от них можно ожидать (действия,
приводящие к максимальным последствиям);

наиболее объемные виды нарушителей (по имеющимся полномочиям

и правам доступа — внутренние) для удобства делятся на отдельные
группы (не зарегистрированные пользователи ИС(АС) -
зарегистрированные пользователи ИС(АС) —
зарегистрированные пользователи ИС(АС) с удаленным
доступом -.....- администраторы безопасности - ... - лица,
осуществляющие ремонт ТС ИС(АС).
В) Описание возможных каналов доступа в ИС(АС) (векторы атак);
Краткое описание каналов, которые может использовать нарушитель,
например: Каналы непосредственного доступа к объекту ИС (АС):
- Визуально-оптический;
- Акустический;
- Физический.
Г) Описание видов нарушителей с привязкой к организационной-
штатной структуре организации (полномочия);
Наибольшие по количеству группы сотрудников, обладающие
определенными должностными обязанностями (полномочиями),
например: Любой внутренний нарушитель организации имеет
физический доступ к линиям связи, системам электропитания,
заземления и др.
- Описание возможностей видов нарушителей с использованием
(учетом) имеющихся у них полномочий;
- Определение актуальности каждого из видов нарушителей.
Каждому виду (типу) нарушителей, как правило, присваивается
идентификатор
Г) Описание возможностей видов нарушителей с использованием
(учетом) имеющихся у них полномочий;
предположение о возможностях каждого вида нарушителей от
наименьших к наибольшим методом поглощения, например:
внутренний нарушитель (категория) группы Н1 может осуществлять
перехват информации................ ‚ нарушитель группы Н2
дополнительно имеет возможность ............. И т.Д.;
предположения об имеющихся у нарушителей средствах атак,
включают имеющиеся средства доступа к аппаратному и
программному обеспечению, техническим средствам, СВЯЗИ и
коммуникациям, множительной и оргтехнике и др.;
Особые виды возможностей, например, при использовании средств
ЭП и криптографической защиты информации.
Практическая значимость моделирования действий нарушителя
ИБ заключается в:

- Создании «оценочного облика» (Ол) потенциального нарушителя и

формализации его оценочной характеристики по определенному (-
ым) критериям ;
- Создании «оценочного облика» каждого сотрудника (О,.) из наиболее
важных групп пользователей ИС (АС) организации;
- — Сравнении значений «оценочных обликов» сотрудников со значением
потенциального нарушителя и формирование выводов:
а) при Ос, > Он сотрудник признается склонным (предрасположенным)
к совершению нарушения и включается в группу сотрудников «группа
риска», за которыми предполагается осуществление усиленного
контроля;
6) при Ос. < Од, сотрудник не включается в «группу риска» и за ним
осуществляются меры обычного контроля.
 Тема 5: Системный подход к моделированию угроз
безопасности информации

Учебные вопросы:

1. Общие положения
2. Последовательность работ по моделированию угроз
3. Содержание «Модели угроз безопасности информации организации»
 Приводят к

Уязвимости
Риск

использую

Применительно к
Источники угроз повышают
(нарушители)

Активы
порождают

Угрозы
Приме ельно к

Злоупотребляют
и/или могут нанести
ущерб

Взаимосвязь основных понятий ИБ

 1. Общие положения
Модель угроз безопасности информации - это документ
(документы) включающий неформальное описание угроз
безопасности, возможностей потенциальных нарушителей,
возможных уязвимостей информационной
(автоматизированной) системы, способов реализации
угроз, а также возможных последствий их реализации
применительно к информационной системе конкретной
организации и ее характеристикам.

Единства мнений по вопросу оформления Модели угроз в

виде единого документа (вариант 1) или нескольких
документов (вариант 2) не существует, однако
большинство склоняются к первому варианту.
 Цель и задачи разработки модели угроз:
Целью разработки модели угроз является организационное и
методическое обеспечение мероприятий способствующих научно-
обоснованному построению системы их нейтрализации (построению
СОИБ) в ИС (АС) организации.

Задачи, выполняемые моделированием угроз безопасности:

„‚ понимание заинтересованными лицами угроз, уязвимостей и

нарушителей, характерных для ИС (АС) конкретной организации для
осознания текущего состояния ее безопасности и запуска процесса ее
совершенствования;

„ выполнение требований регуляторов в области ИБ для обеспечения

безопасности конкретных видов информационных активов
(персональные данные, объекты государственных и муниципальных
информационных систем, объекты критической информационной
инфраструктуры). (Иногда для «галочки» чтобы были выполнены
условия некоторого проекта).
Строгие требования по структуре и содержанию Модели
угроз отсутствуют.

Большинство специалистов едины во мнении, что нет необходимости

разрабатывать несколько документов:
‚ модель угроз;

‚ модель уязвимостей;

‚ модель нарушителя.

Причины:

- логическая взаимосвязанность разделов;

- удобство разработки единого документа;

- удобство восприятия единого документа (мысленное соединение

нескольких разделов воедино);
- удобство хранения единого документа;
- следование большинству практических рекомендаций.
 Рекомендации по разработке моделей угроз (ОНИ ЕСТЬ!!!)

Для определенных категорий информации:

‚ Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных. ФСТЭК
России, 2008 год;

Для организаций определенной отраслевой принадлежности:

‚ Модель угроз типовой медицинской информационной системы (МИС)

типового лечебно-профилактического учреждения (ЛПУ), разработана
департаментом информатизации Министерства здравоохранения и
социального развития;

Комплексные варианты:

‚ — Отраслевая частная модель угроз безопасности персональных

данных при их обработке в информационных системах персональных
данных организаций банковской системы Российской Федерации. ЦБР
РС БР ИББС-2.4-2010.
 2. Последовательность работ по моделированию угроз
Успешность разработки Модели угроз зависит, в первую очередь, от опыта
работы в данной предметной области разработчика (ов).

Анализ большого количества моделей угроз позволяют сделать некоторые

общие выводы:

Различия в подходах возможны и причинами их являются:

Субъективные: Объективные:
- — различия в уровне подготовки и - — различия в используемых методических
компетенции специалистов; рекомендациях;
- отсутствие для некоторой части - — различия в отраслевой принадлежности;
организаций (частный сектор экономики) — - — различия в организационной структуре, ИС,
обязательных требований; перечне и характере активов организации;

Вывод: привести Модели угроз любых организаций к единому образцу

(шаблону) невозможно.

На профильных интерактивных площадках (блоги, чаты) представлены

вопросы по разработке Моделей угроз в широком спектре:

Одна крайность — низкий уровень компетентности, т.е. отсутствие четкого

представления, что писать в таком документе, для кого этот документ
предназначен, какова его задача.

Другая — «для галочки» - сколько листов должно быть в модель угроз, для
того, чтобы это не считалось неправильным. 1
Типичные ошибки при разработке модели угроз:

‚ Отсутствие понимания для кого этот документ:

Для различных категории сотрудников организации:
Руководство Пользователи, выполняющие Другие сотрудники
„конкоетные ФиНкЦцИИ. ВИС
- быть в курсе угроз ИБ; - быть в курсе угроз ИБ; - быть в курсе угроз ИБ;
- осуществлять руководство ИБ; - выполнять правила ИБ; - выполнять правила ИБ;
- менеджмент ИБ (РОСА); - с пониманием относиться к СБ; - осознание роли в ИБ.
- осознание роли каждого в ИБ.

Есть возможность
› Отсутствие понимания структуры документа; получить из
методических (типовых,
‚ отсутствие понимания необходимого содержания документа; ©траслевых и
др.)документов

‚ отсутствие необходимых для проектирования выводов Опыт разработки

 Алгоритм разработки модели #°
“\

Постановка задачи на Выявление и описание

разработку Модели угроз уязвимостей ИС (АС)

Описание организации, ИС (АС)

у
Оценка и описание последствий
и их особенностей (оценка рисков)

у
Определение и описание
у
Обсуждение итогового
объектов защиты документа Модели угроз

|
Разработка и описание модели Модель
нарушителя довлетворяет?

у |
да

Принятие и утверждение |
Выявление и описание угроз
безопасности документа Модели угроз

нЕ’
3. Содержание «Модели угроз безопасности
информации организации»
Общее требование к содержанию:
«Модель угроз безопасности информации должна содержать
описание информационной системы и ее структурно-
писание угроз
описание возможностей

* Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении

требований о защите информации, не составляющей
государственную тайну, содержащейся в государственных
информационных системах»
Требования распространяются не на всех (ГИС), однако
 Рекомендуемое содержание Модели угроз
безопасности информации
Используемые сокращения
Термины и определения
1. Общие положения
2. Описание информационной системы и особенностей ее функционирования
3. Формирование модели нарушителей
3.1. Типы и виды нарушителей
3.2. Совокупность предположений о вО$можностях, которые могут использоваться
при создании способов, подготовке и проведении атак
3.3. Определение типа нарушителей
4. Описание угроз безопасности информации
4.1. Описание уязвимостей ИС, используемых при реализации угроз
несанкционированного доступа
4.2. Описание объектов воздействия угроз несанкционированного доступа
4.3. Описание последствий от нарушения свойств безопасности информации
4.4. Описание носителей информации, являющиеся элементом технического канала
утечки информации
4.5. Описание технических канало
4.6. Перечень угроз безопасности информации
5. Определение актуальности угроз безопасности информации
5.1. Определение уровня исходной защищенности информационной системы
5.2. Определение актуальности угроз
6. Заключение
® @
 Тема 6: Моделирование безопасности информации
на основе Политики безопасности

Учебные вопросы:

1. Понятие, общие положения, модели безопасности.

2. Модели Политик безопасности.
3. Классификация и содержание основных моделей безопасности.
 1. Общие положения
Политика безопасности - фундаментальное понятие в
области теории и практики информационной безопасности.

Дуализм политики безопаснос

Политика безопасности — это совокупность норм и правил,

регламентирующих процесс обработки информации,
выполнение которых обеспечивает состояние защищенности
информации в условиях существования угроз.
Политика безопасности оргайизации — это совокупность
документированных управленческих решений (единый документ
или набор документов), направленных на защиту
информационных активов организации.
Основная цель политики безопасности — определить перечень
условий, которым должно подчиняться поведение системы
обеспечения информационной безопасности (СОИБ)
организации.
Политика безопасности организации (ИС) может быть выражена
формальным и неформальным образом.

Формальное выражение политики безопасности

(математическое, алгоритмическое, схемотехническое и др.) называется
моделью безопасности.

Формальные модели политик безопасности позволяют описать

поведение СОИБ организации в рамках более или менее строгих
математических моделей и правил.

Ценность формальных моделей заключается в том, что с их помощью

можно доказать безопасность (уровень безопасности) системы, опираясь
на объективные результаты (свидетельства), полученные с
использованием математических методов.
При этом формализованная политика (модель) предполагает выработку
критерия оценки безопасности ИС (АС) и проведение формального
доказательства срответствия системы этому критерию.

Величина РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (чаще всего).

Неформальное выражение политики безопасности
предполагает текстовое описание правил (условий)
функционирования СОИБ, некоторых вербальных
утверждений, не обладающих математической строгостью.

В неформальных политиках безопасности описываются как

разрешенные (предписываемые), так и неразрешенные
(запрещаемые) правила поведения внутри организации.

Неформальные политики, как правило оформляются в

организации в виде набора организационно-
распорядительных документов (непосредственно
Политика безопасности и положения, регламенты,
инструкции и др., реализующие (обеспечивающие)
выполнение ее требований.
Наибольшей степени формализации подвержены политики,
описывающие правила для компьютерных систем —

Для компьютерных систем центральной проблемой

безопасности является разграничение доступа (прав
доступа) пользователей.
Количество «всех возможных» реакций компьютерной
системы достаточно велико, но многими из них Можно
пренебречь и для целей исследования оставить
два метода:
1 - доказать, что система всегда «работает корректно»;
2 - продемонстрировать, что система никогда не выполняет
неверных действий (никогда «не работает некорректно»; ).
Виды политик безопасности:

1 - дискреционная;

2 - мандатная;

3 - безопасности информационных потоков;

4 - ролевого разграничения доступа;
5 - изолированной программной среды.
2. Модели Политик безопасности

Дискреционная политика безопасности (ОАС)

(разграничительная)
РАС (О15сгепопагу Ассез$ Соп{го!) — политика безопасности,
основанная на дискреционном управлении доступом, т.е.
обладающим двумя свойствами:
о Все субъекты и объекты в ИС (АС) идентифицированы;
о права доступа субъектов к объектам ИС (АС) определяются на
основании некоторого внешнего по отношению к системе
правила.
Основной элемент ОАС — матрица доступа (доступов).

Матрица доступа — матрица с размерностью |3 Х Ю!._

Зиб)уес! Обрес!
Каждый элемент матрицы М5, о] = К, определяет права доступа
субъекта $ к объекту О.
К — множество прав доступа.
В соответствии с матрицей доступа М:

О, ©, 0, 5, 5,
=}
ГМП
м=5,| в | № |... |

каждый объект объявляется собственностью соответствующего

пользователя;
пользователь, являющийся собственником объекта, имеет все права
доступа к нему, а иногда и право передавать часть или все права
другим пользователям;
собственник объекта определяет права доступа других субъектов к
этому объекту, то есть политику безопасности в отношении этого
объекта.

Варианты задания матрицы доступа:

1. Листы возможностей: Для каждого субъекта 51 создается лист (файл)
всех объектов, к которому имеет доступ данный объект.
2. Листы контроля доступа: для каждого объекта создается список всех
субъектов, имеющих право доступа к этому объекту.
Достоинства ОАС — простота реализации разграничения
доступа (используется в большинстве компьютерных систем).

Недостатки:
- не выдерживают атак типа «Троянский конь»;
- статичность правил политики. При автоматическом
определении правил доступа (что неизбежно!!!) возникает
угроза изменения прав;
- проблема определения правил распространения прав
доступа и анализа их влияния на безопасности ИС (АС) в
целом (возможность многократной передачи прав).

Пример реализации:
Модели Харрисона — Руззо -Ульмана; ТаКе - Сгап!.
Мандатная политика безопасности (МАС)

МАС (Мапаа!огу Ассез$ Соп{го!) — политика безопасности, основанная на

мандатном разграничении доступа, определяемом следующими
условиями:
ое Все субъекты и объекты в ИС (АС) идентифицированы;
о задана решетка (матрица) уровней конфиденциальности
информации;
о каждый объект ИС (АС) имеет уровень конфиденциальности в
соответствии с ценностью.
Основная идея МАС — предотвращение утечки информации от
объектов с высоким уровнем доступа к объектам с низким уровнем
доступа.

Достоинства МАС:
- более высокая степень надежности по сравнению с ОАС;
- правила более ясны и просты для понимания разработчиками и
пользователями.
Недостатки:
- сложность реализации систем с такой политикой;
- повышенные требования к вычислительным ресурсам.

Пример: Модель Белла - Лападула.

Политика безопасности информационных потоков
Политика безопасности информационных потоков основана на
распределении всех информационных потоков на два непересекающихся
множества:
о множество благоприятных информационных потоков;
о множество неблагоприятных информационных потоков.

Основная цель политики безопасности информационных потоков —

создание в ИС(АС) условий, при которых невозможно возникновение
неблагоприятных информационных потоков.

Обычно в чистом виде не реализуется, используется в сочетании с

ОАС и МАС.

Недостатки:
- сложность для реализации систем с такой политикой.
Политика ролевого разграничения доступа (ПРРД)
Политика ролевого разграничения доступа представляет собой дальнейшее
развитие политики МАС, где права доступа субъектов группируются с учетом
специфики их применения, образуя РОЛИ (Например: в ОС \/Мпаоууз права
доступа типа айпите!{га'ог, изег, диез?)).

Достоинства ПРРД:
- реализация гибких, более простых для совершенствования правил
разграничения доступа.

Политика изолированной программной среды (ПИПС)

Цель политики изолированной программной среды — определение порядка
безопасного взаимодействия субъектов ИС(АС), обеспечивающего невозможность
воздействия на систему защиты и модификации ее параметров или
конфигурации, в результате чего возможно изменение реализуемой политики
разграничения доступа.

Реализуется путем:
- изоляции субъектов системы друг от друга;
- невозможность порождения новых субъектов в системе;
- прёдопределенность субъектов в системе. («ПЕСОЧНИЦА», ВМ и др.)
3. Классификация моделей безопасности.

= Бо
=
Модель Кларка-
Модель ММ$ Модель Биба
Вилсона

Модель
Харрисона-Руззо- Модель КВАС
Ульмана Модель Белла - Модель С_оуу-\\/агег-
Лападулы Магк

Модель ТАМ

Модель ТаКе-Сгап?
 Тема 7: Формализованные модели контроля
конфиденциальности информации.

Учебные вопросы:

1. Постановка и описание дискреционной модели Харрисона-Руззо-

Ульмана. («Модель распространения прав доступа»)
2. Постановка и описание мандатной модели Белла-Лападулы.
1. Постановка и описание дискреционной модели
Харрисона — Руззо - Ульмана (Майкл Харрисон, Уолтер Руззо,
Джеффри Ульман, разработана в 1971 г.)
Модель - формальная классическая дискреционная.
Назначение - реализация произвольного управления доступом
субъектов к объектам ИС (АС) и осуществление контроля за
распределением прав доступа.

А) Исходные данные модели (компоненты):

* конечное множество объектов компьютерной системы О=[о]],
| = 1,...П;
конечное множество субъектов компьютерной системы $5=[5]],
) = 1,...т.
° конечное множество прав доступа К=[г.], 9 = 1, ...К.
* матрица прав доступа, содержащая права доступа субъектов к
объектам А=[а,], 1=1, ...п; )=1, ...т;
* конечное множество команд С=[с, (аргументы)], 2=1,... |;
аргументами команд служат идентификаторы объектов и
субъектов.
 О, О, О, О,
5,
5,

5, ау = [Г Г... 'о

Эл

Внешний вид матрицы доступа

Б) Допущения и условия моделирования:

° Все субъекты системы одновременно являются и ее объектами;

° каждый элемент матрицы а, содержит права доступа субъекта

$, к объекту о,;;
° каждый элемент матрицы а; рассматривается как
подмножество КВ;
› каждая команда включает условия ее выполнения и
элементарные операции, выполняемые над субъектами И
объектами ИС (АС) и имеет структуру:

Соттапа с, (аргументы)
Условия выполнения команды
Элементарные операции
Епа.
Поведение системы — моделируется с помощью
понятия состояние - ©.

Состояние системы определяется:

* конечным множеством субъектов ($);
* конечным множеством объектов (О), (считается, что все
субъекты системы одновременно являются и ее объектами,
т. е. 5 = О);
* матрицей прав доступа (А).

Если система находится в состоянии @, то выполнение

элементарной операции переводит ее в некоторое другое
состояние @' ‚которое отличается от предыдущего
состояния хотя бы одним компонентом.
Название команды: Добавление
субъекту 5, права г, для объекта 0,
Формат команды:

Описание команды:
при выполнении этой операции множество субъектов и
множество объектов не изменяются;
подмножеству прав доступа добавляется новое право,
остальные подмножества не изменяются;
если право уже содержится в подмножестве, то это
подмножество также не изменяется;
операция добавления права называется монотонной,
поскольку она только добавляет права в матрицу
доступа, но ничего не изменяет.
В модели НЕО определены следующие элементарные операции, при
выполнении которых система может перейти из одного состояния в другое.

Перечень команд модели ХРУ:

А) работа с правами
- Добавление субъекту 5, права г, для объекта 0;
Епбег г, !пФо а);
- Удаление у субъекта 5,права г, для объекта 0,
Ое!е!е г, Тгот а,

Б) работа с субъектами
- Создание нового субъекта 5,
Сгеа{е сибуес& 5,
- Удаление существующего субъекта 5,
Оесёгоу 5иб)ес& 5,

В) работа с объектами
- Создание в системе нового объекта 0,
Сгеа{е обуесЁ о,
- Удаление существующего объекта о; из системы
Ое5ёгоу обуесё о,
Описание модели
Поведение системы во времени моделируется последовательностью
состояний @,, @»...@,, в которой каждое последующее состояние
является результатом применения команды из множества С к
предыдущему состоянию.

Критерий безопасности
Начальное состояние системы считается безопасным относительно
права доступа г, если не существует применимой к
©@, последовательности команд, в результате выполнения которых
право доступа г, будет приобретено субъектом 5; для объекта о, если
это право не принадлежит подмножеству а; в состоянии ©),

Харрисон-Руззо-Ульман доказали, что в общем случае не существует

алгоритма, позволяющего решить является ли конфигурация системы,
соответствующая ее начальному состоянию @, = (5, О, А)
безопасной.
 Операция Результат операции
«создать» субъект $, №’=5О{5’); О’=ОНО(8’);
где $’#$ М?’[5,0]= М[5,0] для всех $Е5, оЕО;
М’[5’,0]= @ для всех оЕО’, М?[5,5°]= @ для
всех $Е&’
«создать» объект о’, 5’=5; О’=Оо(о’!;
где о’в О М?[5,0]= М[5,0] для всех $Е5, оЕО;
М’[5,0’]= @ для всех зе’
«уничтожить» субъект $”, $=5(5’ О’ =О\ 5’;
где $'Е5 М”[5,0]= М|5,0] для всех $Е $’, оЕО’;
«уничтожить» объект о’, $’=5; О’=О\{0’};
где о’ЕО М’ |5,о]= М|[5,0] для всех зе$’, 0ЕО?;
«внести» право г’ЕК в $’=5; О’=О; М”’[5,0]=М|[5,0] для 5#5’,5Е®”,
М[5’,0’], где $’Е5, о’ЕО 0х0’, оЕО”;
М’[5’,0’]=М(5’,0’] 1’!
«удалить» право г’ ЕК из 5’=5; О’=О; М”[5.0]|=М|5.0] для $=5’.5Е®”,
М|$’,0”], где $’Е$, о’ЕО ох0’, оЕО?;
М’ [5’,о’
|= М[5’.0’|\ {г’}
Описание модели
Указанная задача (обеспечение безопасного состояния
системы) может быть разрешена в одном из следующих случаев:
А) команды С, (аргументы), 2 = 1, 2}... / являются
монооперационными, т.е. состоят только из одной операции;

Б) команды С, (аргументы), 2 = 1, 2}... / являются одноусловными

и монотонными, т. е. содержат не более одного условия и не
содержат операций ВезЁгоу и Ое!е%е;

В) команды С, (аргументы), 2 = 1, 2,... / не содержат команды

Сгеае.

Вывод: дискреционная НКЧ-модель в целом не дает

гарантий безопасности системы, однако именно она
послужила основой для целого класса моделей политик
безопасности, которые используются для управления доступом и
контролем за распространением прав доступа во всех
современных системах.
2. Мандатная модель Белла-Лападулы.
Модель Белла-Лападулы разработана в 1975 году
сотрудниками компании МИТЕЕ Согроганоп Дэвидом Беллом
и Леонардом ЛаПадулой.
Использование ее в качестве формальной модели было
показано в описании критерия ТСОЕС ("Оранжевая
книга"). (Тги5!еай Сотри{ег 5у5!ет Еуаиайоп СгИета -
КОДИС)

Мандатная модель Б — Л основана на правилах

секретного документооборота, которые приняты в
государственных и правительственных учреждениях
большинства стран.
Всем участникам процесса обработки критичной информации
и документам, в которых она содержится, присваивается
специальная метка, которая называется уровнем
безопасности.
Мандатное управление доступом подразумевает, что:

А) задан линейно упорядоченный набор меток секретности

(например, секретно, совершенно секретно и т. Д.);

Б) каждому объекту системы присвоена метка

секретности, определяющая ценность содержащейся в нем
информации, т. е. его уровень секретности в ИС;

В) каждому субъекту системы присвоена метка

секретности, определяющая уровень доверия к нему в ИС
(АС) или уровень доступа.

Все уровни безопасности упорядочиваются с помощью

установленного отношения доминирования.
Контроль доступа к документам осуществляется в зависимости от
уровней безопасности на основании двух простых правил:
1. Уполномоченное лицо имеет право читать только те документы,
уровень безопасности которых не превышает его собственный уровень
безопасности. Уровень безопасности уполномоченного лица
должен доминировать над уровнем безопасности читаемого им
документа. (метка субъекта > метка объекта)

Это правило обеспечивает защиту информации,

обрабатываемую высокоуровневым лицом, от
доступа со стороны низкоуровневых лиц.

2. Уполномоченное лицо может записывать информацию только в

те документы, уровень безопасности которых не ниже его
собственного уровня безопасности. Уровень безопасности документа
должен доминировать над уровнем безопасности уполномоченного
лица. (метка субъекта < метка объекта)

Это правило предотвращает утечку информации со

стороны высокоуровневых участников процесса
обработки документов к низкоуровневым.
ПРИМЕРЫ:
1. КВ = Кеаа; шкала меток безопасности объекта и субъекта —
конфиденциально (К); строго конфиденциально (СК); особо
конфиденциально (ОК).

Реализация права Кеай для субъекта с правом доступа СК:

субъект объект
ОК (нет)
СК > СК (да)
К (да)

2. В = \/МиКе; шкала меток безопасности объекта — та же.

Реализация права \Мие для субъекта с правом доступа СК:

субъект объект
ОК (да)
СК > СК (да)
К (нет)
 геай \утЕе

Графическая интерпретация модели Б — Л (БЛМ)

Существует правило: субъектам в правительстве США запрещенф
записывать или размещать д®нные в объекты, которые имеют более
низкий уровень секретности «нет записи вниз (№\//р)».
Это правило решает проблему «троянский коней», так как
типичными угрозами является пер&нос данных с высокого уровня
безопасности на низкий.
° «нет чтения вверх (№0)».
А) Исходные данные формальной модели Б-Л (компоненты):

° конечное множество объектов компьютерной системы О=/[о//, 1,...П;

* конечное множество субъектов — компьютерной системы 5=[5,/,
1,...т;

* конечное множество прав доступа & геай и К \мтие;

* матрица прав доступа, содержащая права доступа субъектов к
объектам А = [ау / = 1, ...п; ] = 1,...п+т,
* множество запросов на выполнение потоков тип /леаа или иле ВК =
[го 1, ...К.
* функция уровня безопасности Е которая ставит в соответствие
каждому О, и $, системы определенный уровень безопасности,
принадлежащий множеству уровней безопасности ДЭ, на котором
определена матрица;
* Функция перехода 7; которая при выполнении запроса на запись или
чтение, переводит систему из состояния @ в состояние @'.
Состояние системы характеризуется:
° состоянием решетки А, содержащей права доступа;
° функцией уровня безопасности Ё.
Тогда множество состояний системы представляется в виде
упорядоченных пар (Е; А).

Начальное состояние системы обозначается как ©).

Выполнение запроса г; из множества & переводит систему в
состояние @, с помощью функции перехода 7.
Система, находящаяся в состоянии @, при получении следующего
запроса г, из множества & переходит в следующее состояние @,и
т. Д.
Состояние @, достижимо тогда и только тогда, когда существует
последовательность
( Фо, Го Л, ( ©, Г1 Л... ( Фк-1, Гк-1 ) такая, что ТГ ( @к-1, Г-1/) = ©к

Считается, что для любой системы состояние ©,

тривиально достижимо.
Решетка уровней безопасности — это формальное
алгебраическое выражение, использование которого позволяет
упорядочить потоки информации в компьютерной системе.
Решетка уровней безопасности представлена:
° множеством уровней безопасности В;
° оператором отношения;
* оператором, позволяющим определить наименьшую верхнюю
границу для пары уровней безопасности;
° оператором, позволяющим определить наибольшую нижнюю
границу для пары уровней безопасности.

Смысл этих операций заключается в том, что для каждой пары

элементов множества О всегда можно указать
единственный элемент, ограничивающий ее сверху или снизу
таким образом, что между ними и этим элементом не будет других
элементов (однозначность).
Множество уровней безопасности может быть представлено как
целыми числам, так и более сложными составными элементами
(категориями). °
Отношение порядка обладает следующими свойствами:
рефлексивности - если каждый элемент х множества
Х находится в отношении с самим собой;
антисимметричности - если элемент х находится в отношении
су, а у находится в отношении с хх, то х = у;
транзитивности — если элемент а соотносится с ВБ, а Б сс, то а
СООТНОСИТСЯ с С.

Вывод: мандатная модель управляет доступом неявным образом

— с помощью назначения всем сущностям системы уровней
безопасности, которые определяют все допустимые
взаимодействия между ними.

В классической мандатной модели Белла —

Лападулы состояния системы делятся на:
° безопасные, в которых информационные потоки не
противоречат установленным в модели правилам;
° небезопасные, в которых эти правила нарушаются, и
происходит утечка информации.
Белл и ЛаПадула предложили следующее определение
безопасного состояния:
1. Состояние (Е, А) безопасно по чтению (безопасно)
тогда и только тогда, когда для каждого субъекта $,,
который реализует в этом состоянии поток типа геа@ к
объекту о,, уровень безопасности субъекта 5,
доминирует над уровнем безопасности объекта о,

2. Состояние (Е, А) безопасно по записи (безопасно)

тогда и только тогда, когда для каждого субъекта $,
который реализует в этом состоянии поток типа \уми!е к
объекту о, уровень безопасности объекта 0,
доминирует над уровнем безопасности субъекта 5,

3. Состояние системы безопасно тогда и только тогда,

когда оно безопасно и по чтению и по записи.
Критерий безопасности системы:
Система (О, В, Т) безопасна тогда и только тогда, когда
ее начальное состояние О, безопасно и все состояния,
достижимые из О, в результате применения конечной
последовательности запросов из В безопасны.

Белл и ЛаПадула доказали теорему, формально

определяющую безопасность системы при соблюдении
необходимых условий. Эта теорема называется основной
теоремой безопасности.
ександр Юрьевич (орга... Просмотр Тема_8

Тема 8: Формализованные модели контроля

целостности информации.

Учебные вопросы:

1. Постановка и описание модели Биба.

2. Постановка и описание модели целостности Кларка — Вильсона.
1. Постановка и описание модели Биба

Модели контроля целостности

Модель БЛ стала популярной, поэтому было предложено использовать подходы
БЛМ для обоснования и синтеза механизмов контроля целостности
информации в ИС (АС) с последующим объединением полученных моделей
(К+Ц).
За реализацию этой идеи взялся Кеннет Биба.
Он проанализировал БЛМ и в 1975 году сделал следующие наблюдения :
* при рассмотрении БЛМ было показано, что важность или чувствительность
субъектов и объектов повышается с ростом в иерархии уровней
безопасности;

* при рассмотрении моделей контроля целостности запись наверх может

представлять угрозу в том случае, если субъект с низким уровнем
безопасности искажает или уничтожает данные в объекте, лежащем на
более высоком уровне. Поэтому, исходя из задач целостности, необходимо
такую запись запретить;

* следовательно, рассмотрение чтения снизу как потока информации, идущего

из объекта нижнего уровня и нарушающего целостность субъекта
высокого уровня приводит также к необходимости запрета.
Графическая интерпретация идеи модели Биба

геай пе

геай

Графическая интерпретация одели Б — Л (БЛМ)

Наблюдение «запись наверх»

Наблюдение «чтение снизу»

Модель целостности Биба (модель Биба, БМ,
ВМ). .

Биба выразил свою модель таким же способом, каким была

выражена БЛМ, за тем исключением, что правила его
модели являются полной противоположностью правилам
БЛМ.

Три вариации модели Биба:

1 - мандатная модель целостности;
2 - модель понижения уровня субъекта;
3 - модель понижения уровня объекта.

Фактически, общий термин «Модель Биба» используется для

обозначения любой или сразу всех трех моделей.
Мандатная модель целостности Биба

ЕЕ часто называют инверсией БЛМ. (Основные правила модели

«переворачивают» правила БЛМ — М№К\О и №\/Ур).
Правила модели Биба:
1.«Нет чтения снизу» (№ (по геаа аоууп). °
2.«Нет записи наверх» (№/УО (по ууг!е ир).

Задача: Определить правила 1,2 в терминах субъектов, объектов и

нового типа уровней безопасности - уровней целостности, над
которыми может быть введено отношение преобладания.

Правило МЕРО мандатной модели целостности Биба = - | №0

БЛМ |;

Правило М/О мандатной модели целостности Биба = - | М/О

БЛМ |.
Речь идет об уровне целостности, а не конфиденциальности.
 Схема информационных потоков в модели
БЛМ Биба
ми
-—-—-——> в у
$ а О Мо | уровень
целостности
‚ за й

| Но: |
Г > Низкий
Оо $10 уровень
| целсстности
теас
Формальное описание мандатной модели Биба.
Уровни целостности субъекта или объекта х обозначаются как уровень (х)
и для них введено отношение преобладания.

Формулирование правил №0 и №УО мандатной модели целостности в

терминах булевой алгебры:
1.№Ко:
\\ 6 Е5, о Е О: разрешить (5, о, чтение) <> уровень ($) > уровень
(о).
Данный тип определения предусматривает условия, при которых
функция разрешить принимает значение истинно. (операция чтения
разрешена при выполнении условия преобладания).

2. М//Ч:
\\ 5 ЕЗ, о ЕО: разрешить (5, о, запись) <> уровень (5) > уровень (о).
Операция записи разрешается только в том случае, если выполняется
условие преобладания.

Вывод: Подобие правилам модели БЛМ дает преимущество в виде

возможности для проектировщиков систем — достаточно — простого
переконфигурирования правил модели БЛ для поддержки мандатной
модели целостности Биба. °
Модель понижения уровня субъекта
Сущность заключается в небольшом ослаблении правила
чтения снизу (№50).
В отличии от мандатной модели целостности (запрет
субъектам с высокой целостностью читать информацию из
объектов с более низкой целостностью), гарантирующей
сохранение целостности субъекта, ему разрешается
осуществлять чтение снизу, но в результате такого
чтения уровень целостности субъекта понижается до
уровня целостности объекта.
Для чего??? (Данные из объекта с низкой целостностью не нарушат
общую цел сть системы).

Субъекты с высокой” целостностью рассматриваются как

«чистые». Когда к «чистому» субъекту попадает информация
из менее чистого источника, субъект «портится», и его
уровень целостности должен быть изменен.
Однако, в этой модели не накладывается — никаких
ограничений на то, что субъект может прочитать.
Если субъект не должен никогда переходить на более
низкий уровень целостности, то не следует использовать
эту модель, поскольку она может привести к такому
нарушению.
Если все же эта модель реализована в реальной системе, то
необходимо создание некоторых дополнительных мер,
предупреждающих субъекта о возможных последствиях
выполнения таких операций чтения перед тем, как они будут
выполнены. я

Вывод: Данные модели не являются абсолютными

механизмами защиты данных, и для эффективной
реализации используются вместе с другими типами моделей
(например, вероятностными).
Модель понижения уровня объекта
Описывает возможность ослабления правила для записи
наверх (ММ/ЦШ), т.е. разрешение, но со снижением уровня
целостности объекта до уровня целостности субъекта,
осуществлявшего запись. (Мотивы те же, что и в модели
понижения уровня субъекта).

Проблема - что субъект может читать или писать???

Возможна ситуация, когда искажение объекта с понижением
его уровня целостности могут вызвать серьезные последствия
(ограничения модели, например, критическая база данных,
включающая данные, целостность которых имеет предельно
высокое значение) в этом случае модель не работает.

Если данная модель используется в реальной системе, то

необходимо возложить на субъекты ответственность за
деградацию объектов «объект портится» с высокой
целостностью (организационные меры). °
Модель Биба (как и БЛМ) обладает рядом достоинств и
недостатков:
Достоинства:
- модель проста и интуитивно понятна (выражена простыми
правилами (№ и М\//0);
- способствует введению «условий спокойствия» (надежность),
выражающееся в том, что изменение меток не нарушит
безопасности системы (но не к моделям понижения уровня).
Недостатки:
- использование модели Биба в распределенных системах может
привести к двунаправленному потоку информации при
удаленном чтении;
- в практическом применении модель Биба оперирует понятием
доверенных процессов для повышения или — понижения
целостности субъектов, но нет детальной их проработки;
- не предусматривает механизмов повышения целостности
(монотонное снижение);
- использование целостности как некоей абстрактной меры
вызывает сомнение в том, что понятие «большей целостности»
имеет какой-либо смысл (программный код — текстовое
соебщение). °
Объединение моделей безопасности

На практике могут быть случаи, когда необходимо объединить

две и более модели при проектировании — моделей
безопасности различных АС (ИС). КОГДА??? Модель СА, ее
структура.
1. Различные модели могут быть выражены — одной
универсальной структурой так, что их правила работают в
пределах одной модели безопасности. (например, если
модели БЛМ и Биба используются при разработке одной
системы, то первым шагом будет объединение этих двух
моделей в одну новую модель, которая будет охватывать их
необходимые элементы).
2. Модели могут использоваться отдельно, и может быть
проведен неформальный анализ соответствующих подходов
реализации каждой модели.
Это позволит сохранять независимость между отдельными
моделями и произвольно объединять модели в зависимости
от различных требований системы.

Например, если модели БЛМ и Биба используются при

разработке одной системы, то необходимо рассмотреть
соответствующие — реализации этих моделей, — чтобы
определить возможность их объединения (оценивается
потенциальная несовместимость или — избыточность
различных моделей, а, кроме этого сложность в
использовании).
Случаи использования различных моделей в системе, которая
должна решать как проблемы секретности (конфиденциальности),
так и целостности (т.е. композиции моделей).

А) Создание системы, использующей одну политику безопасности,

полученную в результате объединения правил моделей БЛМ и БМ
(политика будет включать в себя правила из обоих моделей):
- субъектам и объектам назначаются различные уровни безопасности и
целостности;
- требуется создание и управление двумя различными наборами
уровней (правил). Авторизация —-администрирование!!!

Б) Логическое объединение правил моделей в одну модель

безопасности, основанную на одном уровне как для безопасности,
так и для целостности. Это приведет к правилам равного чтения и
равной записи, которые удовлетворяют обеим моделям, но
значительно снизится _гибкость операций чтения и записи в
компьютерной сисжежб,” использующей такую модель. А нужна ли
(важна) она сейчас???

В) Использование одного уровня как для целостности, так и „для

безопасности.
Порядок объединения моделей при использовании одного
уровня:
Уровень безопасности (правила БЛМ), но при этом
обеспечивается и контроль целостности посредством ...«ЛловкийЙ
ПОДХОД». .
Размещение субъектов и объектов с высокой целостностью на
нижней ступени иерархии безопасности (например,
программный код). Происходит имитация мандатной модели
целостности Биба в структуре БЛМ (чтение сверху в БЛМ
является чтением снизу в БМ, аналогично с записью).
Что этот подход дает на практике???

Размещение важных активов в нижней части иерархии БЛМ,

что защищает их целостность от обычных пользователей
(правило М№\\У0). Для операций чтение (исполнение), то
программы высшего уровня целостности (нижнего уровня БЛМ)
смогут исполнять только субъекты высокого уровня
надежности, что обеспечивает — дополнительную — защиту
целостности для администраторов. °
Данная схема обеспечивает защиту системных файлов и
администраторов от троянских коней.
Если «троян» находится на одном из верхних уровней, он
никогда не сможет исказить системные файлы за счет
правила М\/УР.

Таким образом осуществляется защита целостности от

троянских коней.

Такое объединение моделей — осуществляет — защиту

секретности для верхних уровней (ТАЙНА) иерархии и
защиту целостности для нижних уровней
(ИСПОЛНЯЕМЫЙ КОД).
2. Постановка и описание модели целостности Кларка —
Вилсона
Модель Кларка - Вилсона (КВМ) появилась в результате проведенного
авторами анализа реально применяемых методов обеспечения
целостности документооборота в коммерческих компаниях (1987 год
Дэвид Кларк и Дэвид Уилсон).
В отличие от моделей БМ и БЛМ КВМ изначально ориентирована на
нужды коммерческих заказчиков, и, по мнению авторов, более адекватна
требованиям, чем предложенные ранее коммерческие интерпретации
моделей целостности (на основе решеток).

Основные понятия КВМ:

1.Корректность транзакций.
2.Разграничение функциональных обязанностей.

Модель заключается в разработке правил контроля целостности

информации для компьютерной (автоматизированной) системы.

Исходными данными в КВМ являются:

1. Множество субъектов ИС (АС) - 5.
2. Конечное множество данных в ИС (АС) - О.
3. Классы операций над данными.
Исходные данные в Модели заданы следующим образом:
1. В системе доступ к данным имеют субъекты из множества субъектов —
5, Е $.
2. Конечное множество данных О разделяется на 2 непересерающихся
подмножества

А) контролируемые элементы данных (Сопз!гатеа Са Нет — СО!);

Б) неконтролиру@&мые элементы данных (ЧОпабп5!гатеа Оа!а Нет5 -
ррвио УО!)).
р = СО! ЧО;
СО! - УО!1 = 0
Целостность СО! обеспечивается КВМ, а целостность О! — не
контролируется.

3. В модели предусмотрены два класса операций над данными.

А) процедура контроля Цёлостности (1т!едгйу Меписайоп Ргоседйиге5 -

МР).
МР обеспечивают проверку целост№ости СО!, (например, методом расчета
контрольной суммы):
Б) процедура преобразования (Тгапэ!огтайоп Ргоседиге5 - ТР).
- Изменяют состав множества всех СО! (например, ОД! —> а)"
В КВМ сформулированы девять правил, определяющих взаимоот-
ношения — элементов данных и процедур в — процессе
функционирования системы. Формулировка правил
(ДОЛЖНЫ!!!):

Правило 1. Множество всех процедур контроля целостности (МР)

должно содержать процедуры контроля целостности любого
элемента данных из множества всех СО!.
(в ИС(АС) должны быть процедуры для проверки целостности)

Правило 2. Все процедуры преобразования (ТР) должны быть реа-

лизованы корректно (не нарушают целостность обрабатываемых
СО!) и с каждой ТР должен быть связан список СО!, для данной
процедуры (устанавливается администратором безопасности).
(любая ТР, примененная к любому СО! вызывает проверку его
целостности)
Правило 3. Система контролирует допустимость применения ТР к
элементам СО! в соответствии со списками ... (правило 2).
(только ТР могут вносить изменения в СО!)

Правило 4. Система поддерживает список — разрешенных

конкретным пользователям процедур с указанием допустимого для
каждой ТР и данного пользователя набора обрабатываемых
элементов СО!.
(Субъекты, инициирующие ТР могут вносить изменения в СО!
только в случае отношений «тройки» (5, &, а) при 5; е $; 1) е ТР;
Я, Е СО!.

Правило 5. Список (правило 2), должен отвечать требованию

разграничения функциональных обязанностей.
(В ИС(АС) должна быть политика разделения полномочий $.
Субъекты не должны изменять СО! без вовлечения в процесс
других субъектов) (суперсубъект — администратор)
Правило 6. Любая ТР, которая обрабатывает элемент ОО,
должна выполнять только корректные преобразования этого
элемента для превращения ОО! в СО.
(в ИС(АС) должны быть ТР, которые могут превратить ОО! в
СО!) я

Правило 7. Каждая ТР записывает в журнал регистрации

информацию, достаточную для восстановления полной картины
каждого применения этой ТР Журнал регистрации -
специальный элемент СЮ, предназначенный только для
добавления в него информации.
(специальный элемент СО! содержит информацию,
необходимую для восстановления состояния любого СО!)
(Форма журнала — электронный для АСс/физический с случае
документооборота, делопроизводства.)
Правило 8. Система аутентифицирует всех пользователей,
пытающихся выполнить любую процедуру преобразования
(в ИС(АС) должен быть механизм распознавания субъекта 5,
инициирующих ТР). (Аутентификация)

Правило 9. Только уполномоченное лицо может изменять списки

(правила 2 и 4), при этом оно не имеет права выполнять в
системе какие-либо действия.
(«тройки» ($, &, 4) модифицируются только специальным
субъектом ИС(АС) — администратором). Участие в
документообороте???
Какова роль каждого из девяти правил модели КВМ???
Показать каким из теоретических принципов политики контроля
целостности отвечает данно
Правило Принципы политики
модели контроля целостности,
1) корректность транзакций; Кларка- реализуемые правилом
Вилсона
2) аутентификация пользователей;
1 Ш 1,6
3) минимум привилегий;
2 Г: я
4) разграничение функциональных
3 ру ЗА че
обязанностей;
4 1,2,3,4
5) аудит произошедших событий; 5 \ 4 уч Л
6) объективный контроль.
6 \ ?2 /
Основным результатом КВМ является 7 \ 5 Й
доказательство «Основной теоремы 8 “2 и
целостности». 9 4

Резюме: В явном виде недостатков в КВМ не обнаружено, но ее

реализация на практике в полном объеме невозможна по причине
отсутствия единой математической модели а, следовательно,
сложности реализации.
 Тема 9: Теоретические основы организации
защиты информации

Учебные вопросы:

1. Взгляды субъектов информационных отношений на обеспечение

информационной безопасности.

2. Методы организации работ по защите информационных активов.

1. Взгляды субъектов информационных отношений на
обеспечение информационной безопасности.
Цель: Информационные системы (АС) создаются (приобретаются,
используются)для получения определенных информационных услуг.

Если по тем или иным причинам предоставить эти услуги пользователям с

должным качеством (КЦД, СТА) становится невозможно, это, очевидно,
наносит ущерб всем субъектам информационных отношений.

Аксиома: Информационные активы (личные, корпоративные,

государственные) находятся в безопасности если в и ении
= = Ге

Практика свидетельствует о том, что ситуация 1 — наиболее «жизненная»

(тайны коммерческая, профессиональные, персональные данные, ноу-
хау, интеллектуальная собственность, безопасность ЗО КИИ, техническая
и эксплуатационная информация, пароли и др.).
Конфиденциальность — исторически (применительно к СССР - РФ)
наиболее важное, необходимое (по взглядам высшего руководства),
популярное и наиболее проработанное с точки зрения практической
реализации свойство информации.
Однако, практическая реализация мер по обеспечению
конфиденциальности в современных ИС (АС) испытывает серьезные
трудности:
во-первых, информация о технических каналах утечки (ТКУИ) в
большей степени является «закрытой» (СТР, СТР-К, сборники методик,
стандарты, описания, учебники - служебная и гос. "тайна);
СЛЕДСТВИЕ!!!!!!!!!!!!!!! - трудности с получением, изучением,
формированием выводов о рисках и т. д.
требования, выполнение которых весьма затратно (ИТЗИ) и носящие в
целях обеспечения коммерческой тайны рекомендательный характер,
обречены на риск и недостаточно внимательное к ним отношение.
Проще проигнорировать, рисковать;
проблемы, связанные с применением криптографических средств
как основного средства обеспечения конфиденциальности в части т.н.
коммерческой (облегченной) К., связаны с рядом законодательных и
технических проблем.
Несмотря на то, что в нормативных документах конфиденциальность
продолжает занимать первое (КЦД - СТА) и ведущее место,
доступность информации в настоящее время выделяется как
важнейший элемент (свойство) информационной безопасности.

Особенно четко ведущая роль доступности проявляется в различных

автоматизированных (автоматических) системах управления -
производством, транспортом, энергетикой, банковской и др. (ЗО КИИ).

Также весьма неприятные последствия — материальные, репутационные и

моральные может иметь длительная недоступность информационных
услуг (сервисов), которыми пользуется большое количество людей
(продажа железнодорожных и авиабилетов, банковские услуги, поисковые
сервисы, электронные магазины и др. интерактивные системы
развлекательного, игрового характера), т.е. во всех случаях, когда
требования к реакции ИС (временной промежуток от момента отправления
запроса, до появления ответа на него (отклика).
 ное отображение объема работ
обеспечению свойств безопасности.
Объемы работ зависят от особенностей
ИС (АС) и не равны друг другу.

Идеальная ситуация, когда свойства безопасности

информации выполнены (для данных условий)
максимально. Область безопасных в,

Пространство ИА

Рабочая ситуация, когда свойства безопасности

информации выполнены в некотором, но недостаточном
объеме. Область РОВНО
Чем руководствоваться при обеспечении ИБ???
- требованиями;
- рекомендациями, положениями;
- опытом реализации в других (похожих по структуре, области
деятельности, масштабу ...и др.) организациях.

Где взять???
Стандарты, документы с требованиями и рекомендациями дают базу
(понятийную, теоретическую, методическую), на которой строятся все
работы по обеспечению информационной безопасности.
На практике эти знания (положения) ориентированы, в большей
степени, на производителей ТС, ПО и «оценщиков» ИС (АС)
(профессиональное ЛОББИ) и только в меньшей степени - на
потребителей.
Законы, стандарты, рекомендации весьма статичны (современные
тенденции вселяют оптимизм):
1. Они не учитывают (не могут) динамику изменения защищаемых
систем, их инфраструктуры и окружения.

2. Не содержат практических рекомендаций по формированию режима

безопасности и его поддержки в актуальном состоянии в условиях
постоянно меняющегося окружения и структуры самой ИС (АС).
2. Методы организации работ по защите
информационных активов
Основные методы подразделяются на:
1. Выполнение обязательных требований нормативных документов:
а) Указы Президента РФ;
б) Постановления Правительства РФ;
в) Федеральные и региональные Законы;
г) Технические регламенты;
д) Приказы государственных регулирующих органов.
2. Выполнение рекомендаций и требований рекомендательного характера:
а) Положения Федеральных и региональных законов, применяемые для
организации защиты других видов тайны;
6) Положения Стандартов (международные, национальные других
государств, государственные, отраслевые, рекомендации в области
стандартизации);
в) Положения Приказов регулирующих органов, применяемые для
организации защиты других видов тайны.

3. Научное обоснование перечня и объема работ на основе построения модели

угроз информационной безопасности, анализа информационных рисков.

4. Комбинация способов 1, 2, 3.
Каждый из методов имеет преимущества, но не лишен недостатков.
Преимущества и недостатки метода выполнения обязательных требований
нормативных документов:
а) Преимущества:
- нацелены в основном на обеспечение конфиденциальности;
- нет необходимости проведения анализа целесообразности выполнения («не
надо думать»); ситуация меняется!!! (Можно отказаться от обязательных мер и заменить ко®ленсирующими)
- конечный перечень требований;
- проверочные и контрольные мероприятия проводятся методом контроля
документов (в основном);
- большинство подготовленных специалистов ИБ (бакалавр) ориентированы
именно на работу с Перечнями требований.

б) Недостатки:
- нацеленность на защиту (конфиденциальность) «тяжелых» видов тайны;
- перечни, как правило, обладают избыточностью (субъективизм);
- требования отличаются категоричностью (детерминированность);
- возможность только одной метрики — количество выполненных требований;
- многие требования устарели с точки зрения терминологии и современного
уровня развития ИТ;
- отсутствие гарантированности уровня защищенности при выполнении
требований (выполнение всего Перечня требований не является ...);
- выполнение перечня требований трудоемко и затратно. Нет возможности
реализовать принцип минимальной достаточности;
- сложность поддержания и управления достигнутым уровнем безопасности
(менеджмент ИБ).
 Преимущества и недостатки метода научного обоснования перечня
и объема работ на основе построения модели угроз информационной
безопасности, анализа информационных рисков:
а) Преимущества:
- реализация комплексного подхода к обеспечению КЦД (СТА) активов
организации;
- научное обоснование выбора мероприятий ИБ;
- возможность реализации принципа минимальной достаточности
(избирательность);
- устранение дублирования и избыточности;
- возможность новых (нетривиальных и инновационных) решений;
- возможность реализации формальных измерительных процедур
при проведении проверочных и контрольных мероприятий (аудита);

6) Недостатки: ы
- необходимо наличие высококвалифицированного специалиста ИБ
(магистратура);
- результаты обоснования и оценок трудны для понимания
должностными лицами (руководством), реализация стохастического
подхода;
- негативное отношение представителей государственных
регулирующих органов при проверках (непонимание). °