4. Інженерно-технічний захист інформації 4.1. Принципи охорони об”єктів, охоронні системи Принципи, що визначають загальні вимоги до засобів охорони об”єктів (способів та засобів захисту інформації): безперервність охорони об”єктів (захисту інформації) характеризує постійну готовність системи і засобів охорони об”єктів до відбиття загрози несанкціонованого доступу на об”єкти (до інформації); активність перодбачає прогнозування дій зловмисника, розробку і реалізацію випереджаючих заходів охорони (захисту); скритність виключає ознайомлення сторонніх осіб з засобами і техннологією охорони об”єктів (захисту інформації); цілеспрямованість передбачає зосередження зусиль по запобіганню загрозам найбільш важливим об”єктам (найбілш цінній інформації); комплексність використання засобів охорони об”єктів, що дозволяє компенсувати недоліки одних засобів достоїнствами іншими.
Розглянемо питання застосування інженерно-технічних засобів охорони. При ухваленні рішення про використання технічних засобів охорони і про архітектуру системи загалом необхідно поставити собі два питання: чи спрацює техніка і чи можна вивести її з ладу ? Недостатньо знати, що техніка і система вцілому буде працювати задовільно. Необхідна ще і впевненість, що її нелегко буде вивести з ладу. Крім того, слід враховувати залежність надійності системи безпеки від її вартості. Фактор вартості системи безпеки змушує іти на певний компроміс. Для забезпечення більш низької вартості необхідно, щоб розробка системи охорони велася з урахуванням відомих і доступних методів, устаткування та елементів. У кінцевому рахунку стадія проектування повинна дати відповідь на питання: що потрібно робити і як потрібно робити ? Відповідно до розробленого проекту проводяться роботи з впрвадження системи на об”єкті – придбання і монтаж устаткування, прокладка кабельних мереж, організаційне забезпечення роботи системи, навчання персоналу. Таким чином, процес створення та вдосконалення системи забезпечення безпеки об”єкта складається з трьох важливих стадій: обстеження об”єкта, проектування і впровадження. Як правило, системи безпеки комплектуються з устаткування різних підприємств і фірм, проектування і монтаж можуть проводитися також різними організаціями, тобто відповідальність за працездатність та надійність усієї системи розподіляється між проектувальниками, виробниками та монтажниками. Тому дуже важливо для користувача правильно орієнтуватися на сучасному ринку пропонованих послуг із забезпечення безпеки фізичних об”єктів. Об”єкт, що охороняється, може являти собою: комплекс будинків, будівель, споруд, відкритих майданчиків з матеріальними цінностями, розташований на одній загальній охоронюваній території; окремі будинки, будівлі, споруди, відкриті майданчики з матеріальними цінностями; одне чи кілька приміщень, розташованих у будинку, будівлі, споруді з матеріальними цінностями. Як будь-яка система, система охорони являє собою сукупність організаційних заходів з інженерно- технічним оснащенням. Щоб впіймати порушника на місці злочину, його дії слід виявити, а інформацію про нього передати людям, які здатні прибути вчасно на місце і затримати ЗЛ. Як бачимо, тут присутні два аспекти оперативної діяльності: активний, що стосується людини, і пасивний, що стосується технічних засобів. Незважаючи на безліч супутніх проблем, використання електронних технічних засобів у системах охоронної сигналізації цілком виправдовує себе. Краще одержати сигнал про напад, ніж взагалі нічого не підозрювати. Але якщо навіть система спроекирвана та встановлена на об”єкті, її недоліком залишається залежність від людей. Про це не слід забуати при впровадженні системи охорони об”єктів, і, поряд з питаннями оснащеності об”єкта технічними засобами охорони, повинні розглядатися питання організації охоронної служби. Зупинимося на загальних принципах побудови охорони з погляду використання технічних засобів. Охорона об”єктів здійснюється по периметру території (зовнішня периметрова) та всередині (внутріоб”єктна). Крім того, система охорони об”єктів повинна передбачати використання індивідуальних засобів захисту, що забезпечують безпеку фізичних осіб, які зайняті в сфері охорони об”єкта і можуть піддаватися нападу ЗЛ. Першою перешкодою на шляху ЗЛ, що зменшує фактор ризику, є інженерні засоби охорони. Крім функцій фізичної перешкоди, інженерні засоби охорони виконують функції психологічної перешкоди, попереджаючи можливість здійснення порушення. Крім того, фізичні бар”єри збільшують час, необхідний ЗЛ для їх подолання, що робить більш імовірною можливість його затримки. Інженерні засоби призначаються для: утруднення дій ЗЛ при проникненні на об”єкт чи з об”єкта; полегшення працівникам охорони виявлення слідів і затримки ЗЛ; створення працівника охорони необхідних умов для виконання завдань щодо охорони об”єкта; позначення меж постів і заборонених зон об”єктів. До периметрових інженерних засобів відносяться: основне огородження; огородження забороненої зони; контрольно-слідова смуга; дорога охорони і стежка нарядів; дротові загородження; спостережні вишки, постові грибки, постові будинки; вказівні, попереджувальні і розмежувальні знаки; окопи і укриття; устаткування постів вартових собак. Як огородження по периметру території перспективно використовувати вироби з коючої стрічки. Вона за своїм призначенням умовно може розглядатися як елемент, аналогічний колючому дроту. При цьому стрічка є більш міцною в порівнянні з дротом. Як фізичні бар”єри в окремих будинках, спорудах, приміщеннях використовуються спеціальним чином укріплені двері, грати, замки, засуви, засуви на вікнах і дверях тощо. Усі підземні і надземні комунікації об”єктів, що мають входи і виходи у вигляді колодязів, люків, шахт, відкритих трубопроводів, каналів і подібних споруд, через які можна проникнути на об”єкт, обладнуються постійними чи знімними металевими гратами, кришками, що зачиняються, дверми і т.д. Фізичною перешкодою на шляху проникнення ЗЛ на рб”єкт є і контрольно-пропускний пункт (КПП), спеціально встановлені та обладнанні місця для здійснення пропуску людей і транспорту, виносу (внесенню) чи вивозу (ввозу) матеріальних цінностей і документів. КПП поділяються на контрольно-прохідні ті контрольно-проїздні. Контрольно-прохідні пункти, в свою чергу, поділяються на зовнішні (доступ на територію) і внутрішні (доступ у будинок, приміщення). Як інженерні засоби для облаштування КПП використовуються засоби для збереження і видачі пропусків, бар”єри, що ізолюють проходи, турнікети, двері, кабіни для працівників охорони та ін. Контрольно-проїздні пункти облаштовуються проїздними воротами, майданчиками чи естакадами для огляду транспорту, шлагбаумами чи допоміжними воротами, оглядовими вишками та оглядовими ямами, постовими будками тв ін. На мал. 3.1-С представлено варіант розташування зон безпеки підзахисного об”єкта. До електронних технічних засобів охорони належать: засоби виявлення ЗЛ; засоби виявлення пожежі; засоби оперативного зв”язку та оповцщення; засоби спостереження та телеконтролю; засоби забезпечення пропускного режиму; електроживильні установки; охоронне освітлення; лінії зв”язку (сполучні і живильні); Технічні засоби охорони повинні забезпечувати: своєчасну подачу сигналу тривоги у вартове приміщення; при спробі порушників проникнути на охороняєму територію, в будинок чи приміщення із вказівкою місця, часу порушення (пожежі), а також напрямку руху порушника, включення сирени, дзвінків, гучномовного зв”язку з метою змусити порушника відмовитися від своїх намірів; отримання достовірної інформації про стан охороняємого об”єкту без виходу на місце особового складу охорони; двосторонній зв”язок аварти з постами для керування нарядами охорони; автоматизацію і механізацію контрольно-пропускного режиму; подачі сигналу про виникнення пожежі; ведення охорони об”єкта мінімальною кількістю людей; забезпечення особистої безпеки і поліпшення умов праці особовому складу варти. Залежно від мети і поставлених завдань технічні засоби охорони можуть компонуватися різним чином, утворюючи одно- чи багаторубіжні системи охорони (охоронно-пожежної сигналізації). Термін “охоронно-пожежна сигналізація” означає отримання, обробку, передачу і представлення в заданому вигляді споживачам інформації про проникнення на охороняємі об”єкти і про пожежу на ниї за допомогою технічних засобів. Кількість рубежів і тип використовуваних електронних технічних засобів визначаються в кожному конкретному випадку проектом залежно від важливості, категорійності об”єктів. Рубіж – це система охоронної сигналізації, що складається, як правило, з датчиків одного типу і розміщена на шляхах можливого руху ЗЛ таким чином, що будь-яке порушення охороняємої зони викликає спрацьовування датчиків. Наприклад, периметри об”єктів, охороняємих відомчою воєнізованою охороною, обладнуються технічними засобами різного принципу дії не менше, ніж у два рубежі. Перший рубіж – обладнується по козирьку основного огородження. Зазвичай по козирьку основного огородження встановлюються ємнісні, інфрачервоні (оптико-електронні) та індуктивні датчики. Другий рубіж обладнується в забороненій зоні. Для нього рекомендується використовувати радіовипромінювальні датчики. Обов”язковому обладнанню технічними засобами охорони підлягають дахи одно- та двоповерхових будинків, розташованих на межі охороняємої території об”єкта, а також вікна цих будинків. Кількість рубежів охорони при цьому має відповідати кільеості рбежів охорони по периметру. Подібно до того, як окрема ділянка периметра блокується технічними засобами охорони, ворота контрольно-проїзних пунктів – перший рубіж обладнується по верху основних воріт, другий – по забороненій зоні чи полотні воріт в огорожі забороненої зони. Додатково ворота блокуються на їх відчинення електроконтактними датчиками, що включаються послідовно в сигнальні лінії кожного рубежу. Технічними засобами оснащуються також підземні і надземні комунікації, що виходять за межі охороняємої території об”єкту. Лінійна частина засобів сигналізації по периметру об”єктів розбивається на ділянки, причому кожній ділянці кожного рубежу присвоюється окремий номер прийомної станції. Межі ділянок, обладнані технічними засобами охорони, повинні бути загальними для всіх типів пристроїв і охоронного освітлення. Технічні засоби, що використовуються для охорони периметру, повинні працювати цілодобово. В середині об”єктів технічними засоьами охорони блокуються: різноманітні конструктивні елементи будинків (вікна, двері, ворота, підлоги, стіни, світлові ліхтарі, перегородки, люки, виходи на дахи і т.д.); приміщення чи його частина, підходи і проходи, коридори і сходові клітки; різноманітні трубопроводи, сходи, елементи конструкції козлових кранів, люки та ін., що дозволяють проникнути в охороняєме приміщення; сейфи, стенди, стелажі, технологічне устаткування, окремі предмети; місця стоянки чи збереження виробів. Перший рубіж охорони тут являє собою систему з різних типів датчиків і шлейфів блокування, встановлюваних на шляхах можливого проникнення порушника в охороняєме приміщення (будинок), а саме на діючих і запасних воротах, дверях,вікнах, світлових ліхтарях, горищних люках і т.ін. Другий рубіж сигналізації являє собою систему з датчиків, що забезпечують блокування або всього об”єму приміщення, або окремих його ділянок чи конструкцій, або окремих предметів, сейфів, стендів, шаф і т.п., що знаходяться в приміщеннях. Кожен рубіж сигналізації повинен мати свій номер на табло прийомної станції у вартовому приміщенні. Схеми включення датчиків у шлейфи охоронної сигналізації повинні забезпечувати контроль за працездатністю цих датчиків ті їх ліній зв”язку з вартового приміщення. Під шлейфом охоронної (пожежної, охоронно-пожежної) сигналізації розуміється електричний ланцюг, що з”єднує вихідні ланцюги датчиків, які включають допоміжні (виносні) елементи і з”єднувальні дроти та призначені для передачі на приймально-контрольний прилад повідомлень про проникнення, спробу проникнення (пожежу) і несправності, а в деяких випадках і для подачі електроживлення на датчики. Системи охорони можуть будуватися як автономні або як централізовані. При розробці чи вдосконаленні системи охорони слід пам”ятати, що правильний вибір технічних засобів, правильно спроектована система визначають ступінь надійності охорони об”єкта. При цьому слід враховувати ряд факторів, такихяк: режимність підприємства; конструктивні особливості будинків, споруд; час реагування працівників охорони; рельєф і кліматичні умови; рівень шумів, радіо- та електроперешкод; час, режим та змінність роботи; насиченість приміщеннь технологічним устаткуванням; категорію вибухонебезпечності; наявність вентиляційних і опалювальних приладів; наявність матеріальних цінностей і т.п. Необхідно також додати, що вразі потреби для вирішення питань проектування та розробки систем охорони обов”язково слід звертатися до спеціально визначених для цього організацій.
Задачі захисту стаціонарних об”єктів і засоби, що застосовуються для його забезпеченняахист машинних носіїв інформації Задачі, які повинні вирішуватися в процесі захисту стаціонарних об”єктів: Запобігання несанкціонованому доступу на об”єкти ( і до інформації, що обробляється і /або зберігається на об”єкті). Виявлення пожежі на підохоронному об”єкті і сигналізація про це. Організація санкціонованого доступу на об”єкти. Засоби, що використовуються для захисту стаціонарних об”єктів А) Для запобігання несанкціонованому доступу на об”єкти (до інформації, що обробляється і /або зберігається на об”єкті) та ліквідації його наслідків (якщо порушення мало місце) повинні бути виконані наступні дії: Розбиття підохоронного об”єкта на зони безпеки (контрольні зони): територія, будівля, поверх, приміщення і т.д. Перешкоджання проникненню в зони безпеки. Виявлення факту проникнення в зону (на контрольований об”єкт) або перебування у ній і сигналізація про це. Виявлення і впізнання порушника (зловмисника). Усунення загрози. Для запобігання несанкціонованому доступу на об”єкти інформаційної діяльності застосовуються наступні засоби захисту: для перешкоджання проникненню в контрольовані зони – огородження, двері, грати; для виявлення факту проникнення в контрольовану зону або перебування в ній і сигналізації про це – системи охоронної сигналізації, до складу яких входять сповіщувачі охоронної сигналізації, системи зв”язку, приймально-контрольні прилади; для виявлення і впізнання порушника (зловмисника) – системи відеоспостереження; для усунення загрози – засоби відбиття загроз. Б. Для виявлення пожежі на підохоронному об”єкті, визначення місця і ліквідації пожежі повинні бути виконані наступні дії: Розбиття підохоронного об”єкта на зони: територія, будівля, поверх, приміщення і т.д. Виявлення пожежі і сигналізація про це. Виявлення і уточнення місця пожежі. Усунення загрози (гасіння пожежі). Для виявлення і ліквідації пожежі застосовуються наступні засоби: для виявлення пожежі і сигналізації про це – системи пожежної сигналізації; для виявлення (уточнення) місця пожежі – системи відеоспостереження; для усунення загрози – виконавчі пристрої. В. Для організації санкціонованого доступу на об”єкти повинні бути виконані наступні дії: Ідентифікація осіб (виявлення осіб, доступ яким дозволений). Здійснення пропускання на об”єкт осіб, доступ яким дозволений. Для організації санкціонованого доступу на об”єкти застосовуються наступні засоби: для ідентифікації осіб і виявлення осіб, доступ яким дозволений, - системи допуску “пристрій ідентифікації – контролер”, ідентифікаційні карти, засоби біометричної ідентифікації; для здійснення пропускання на об”єкт осіб, доступ яким дозволений – виконавчі пристрої; Широко використовуються також, так звані, інтегровані системи, під якими розуміють системи, здвтні управляти всім спектром сучасних охоронних пристроїв. Інтегрована система – це програмно-апаратний комплекс, до складу якого входять: персональний комп”ютер з комплексом прогрпмного забезпечення; приймальна станція; адресні блоки; Інтегровані системи забезпечують: Точне визначення місця спрацювання засобу виявлення, подачу звукового, світлового сигналу, вказування типу пристрою, що спрацював; Реєстрацію місцезнаходження і часу спрацювання засобів виявлення і тривожних кнопок; Контроль за станом комунікаційних ліній і працездатність засобів виявлення; Постановку і зняття охорони окремих пристроїв або їх груп; Реєстрацію всіх подій, що відбулися в системі, і можливість їх перегляду за певний проміжок часу; Управління різними пристроями реагування (блокування дверей, вмикання телекамер, систем пожежогасіння, вентиляції і інш.). Використання в системі персонального комп”ютера дозволяє: Отримати поетапні графічні плани об”єкта охорони. На плані можна відобразити об”єкт з прилеглою до нього територією, під”їзди до нього, поверхові плани об”єкта, входи і виходи на поверхах, план приміщення; Вивести довідкову інформацію про засіб виявлення, рекомендації по ліквідації ситуації, що створилася, та будь-яку іншу корисну інформацію; Ввести і зберегти інформацію про виконані заходи і дії персоналу при виникненні тривожної ситуації; Автоматично управляти різними пристроями реагування без участі оператора; Записати, обробити і проаналізувати відеозображення. Максимальна кількість підохоронних приміщень залежить від числа адресних сенсорів, що встановлені в них. Під адресним сенсором мають на увазі власне сенсор і адресний пристрій, що забезпечує його ідентифікацію в мережі. Інженерно-технічні засоби захисту можна поділити на дві групи: фізичні (механічні) та електронні. Фізичні інженерно-технічні засоби захисту застосовують для перешкоджання проникненню зловмисника в контрольовані зони, - огородження, двері, грати. Електронні інженерно-технічні засоби захисту застосовують для виявлення і впізнання зловмисника, що незаконно проник в зону (системи сигналізації і системи спостереження), а також для організації санкціонованого доступу на об”єкти (системи “зчмтувач-контролер”). Системи “зчитувач-контролер” поділяються на ті, що ідентифікують людей за ідентифікаційними картами і за біометричними ознаками. 4.3. Розбиття підзахисних об”єктів інформаційної діяльності на зони безпеки Багатозональність забезпечує диференційований санкціонований доступ різних категорій співробітників і відвідувачів до джерел інформації і реалізується щляхом розділення простору, що займає об”єкт захисту (організація, фірма тощо). Типовими зонами є: територія, яку займає організація і що обмежується огорожею або умовним зовнішнім кордоном; будівля на території; кордон або його частина; приміщення (службове, кабінет, і т.і.); шафа, сейф, сховище. Варіант розташування зон безпеки підзвітного об”єкта показаний на рис. (3.1 С). Варіант системи забезпечення безпеки (охорони) території об”єкта показаний на рис. (3.2-С). Засоби протидії рекомендується розміщувати на концентричних колах, що перетинають всі можливі шляхи противника до будь-якого з об”єктів. Кожний рубіж охорони потрібно створити таким чином, щоб затримати нападника на час, достатній для прийняття персоналом охорони дії у відповідь. В тому випадку, якщо всередині будівлі розташовуються об”єкти з істотно різними вимогами до безпеки, застосовують розділення будівлі на відсіки, що дозволяє виділити внутрішні периметри всередині загального контрольованого простору і створити внутрішні захисні засоби від несанкціонованого доступу. Периметр звичайно виділяється фізичними перешкодами, прохід через які контролюється електронним способом або за допомогою спеціальних процедур. Зони можуть бути: незалежними (будівлі організації, приміщення будівель), зони, що перетинаються, і вкладеними зонами (сейф всередині кімнати, кімната всередині будівлі, будівля на території організації). З метою перешкоджання проникненню зловмисника в зону на її кордоні створюють, як правило, один або декілька рубежів охорони. Особливістю захисту кордону зони є вимога рівної міцності рубежів на кордоні і наявність контрольно-пропускних пунктів або постів, що забезпечують управління доступом в зону людей і автотранспотру. Приклад вибору зон безпеки і побудови рубежів охорони приведений на рис. (3.3 –С). Рубежі охорони створюють і всередині зони на шляху можливого руху ЗЛ або поширення інших носіїв, передусім, електромагнітних та акустичних полів. Наприклад, для захисту акустичної інформації від підслуховування в приміщенні може бути встановлений рубіж захисту у вигляді акустичного екрану. Кожна зона характеризується рівнем безпеки інформації, що знаходиться в ній. Безпека інформації в зоні залежить від: відстані від джерела інформації (сигналу) до ЗЛ або його засобу добування інформації; кількості і рівня захисту рубежів на шляху руху ЗЛ або поширення іншого носія інформації (наприклад, поля); ефективності способів і засобів управління допуском людей і автотранспорту в зону; заходів захисту інформації всередині зони. Чим більша віддаленість джерела інформації від місцезнаходження ЗЛ або його засобу добування і чим більше рубежів охорони, тим більше час руху ЗЛ до джерела і ослаблення енергії носія у вигляді поля або електричного струму. Кількість і просторове розташування зон і рубежів вибирають таким чином, щоб забезпечити необхідний рівень безпеки інформації, що захищається, як від зовнішніх (що знаходяться поза територією організації), так і внутрішніх (ЗЛ, що проникли на територію, і спвробітників) загроз. Чим більш цінною є інформація, що захищається, тим більшою кількістю рубежів і зон доцільно оточувати її джерело і тим складніше ЗЛ забезпечити контакт з її носіями. Варіант класифікації зон по ступеню захищеності наведений в таблиці___:
Таблиця___ Категорія зон Найменуван-ня зон Функіональне призначення зон Умови доступу співробітників Умови доступу відвідувачів
0 Вільна Місця вільного відвідування Вільний Вільний
I Зона, що спостерігається Кімнати прийому відвідув. Вільний Вільний
II Реєстраційна Кабінети співробітників Вільний З реєстрацією за посвідч. особи
III Режимна Секретаріат, комп”ютерні зали, архіви За ідентифікаційн. картами За разовими перепустками
IV Посиленого захисту Касові операційні зали, матеріальні склади За спецдокументами За спецперепустками
V Вищого захисту Кабінети керівників, спеціальні сховища За спецдокументами За спецперепустками
Безпека інформації в і-й зоні оцінюється імовірністю Qi(() забезпечення заданого рівня безпеки інформації протягом певного часу. Для незалежних зон значення цих імовірностей незалежні, для вкладених - Q1(()(Q2(()(Q3(()(...(Q5(() (Q1…Q5 – імовірності забезпечення заданого рівня безпеки інформації відповідно для території, будівлі, поверху, приміщення і сейфа). Якщо безпека інформації в кожній зоні забезпечується тільки рубежем на її кордоні, то для доступу ЗЛ, наприклад, до документа, що зберігається в сейфі, йому необхідно подолати 5 рубежів: кордон території, увійти в будівлю, в коридор потрібного поверху, в приміщення і відкрити сейф. В цьому випадку безпека інформації в к-ій зоні Qк оцінюється величиною: k k Qk((k) = 1 - (Pi((i), a (k = ( (i , i=1 i=1 де Pi((i) – імовірність подолання ЗЛ і-го рубежа за час (i . Наприклад, якщо для всій і-ва імовірність Рі = 0,2 за час (i = 5 хвилин, то Q5 = 0,99968 забезпечується протягом 25 хвилин. За більший час значення імовірності Q5 зменшується, бо збільшиться імовірність подолання ЗЛ рубежів захисту. Фізичний захист стаціонарних об”єктів Огорожа засосовується для заваджання проникненню на територію (охорони території по периметру). Огорожі можуть бути стаціонарними та монтованими. З стаціонарних найбільш поширеними є бетонні огорожі. Недоліки – дорого коштують, вимагають багато часу для встановлення. Нині найчастіше використовуються швидко монтовані огорожі. Вони складаються з металевих сіток або секцій різного типу. Висота таких огорож може досягати 2 м. Переваги монтованих огорож: порівняно малий час встановлення, можуть бути використані багато разів. Як основною, так і додатковою завадою може бути колючий дріт. Як додаткова завада він може прикріплюватися у нижній і верхній частинах огородження будь-якої конструкції. Двері застосовуються для заваджання проникнення в будівлю, на поверх, в приміщення. Серйозною завадою, при спробах проникнення в приміщення, є стальні двері. На зовнішній вигляд вони можуть не відрізнятися від пластмасових чи дерев”яних, що досягається використанням декоративних покриттів. При виборі дверей необхідно перевірити жорстку фіксацію елементів затвора призакритому замку. Відповідальні дільниці стальних дверей в місці розташування петель і замка повинні захищатися додатково.Тут можуть використовуватися матеріали із вмістом вольфраму для заваджання висвердлюванню. Полотно стальних дверей не повинне містити зовнішніх зварних швів. Міцність дверей залежить також від типу замка, що застосовується для їх замикання. Замки за способом встановлення поділяють на накладні та врізні. Накладні замки встановлюють зовні на полотні дверей, врізні – в тілі полотна дверей. Накладні замки менше послаблюють полотно дверей, ніж врізні, і вимагають менше часу на встановлення. Виключення складають багаторігельні врізні замки. При замиканні дверей багаторігельним замком механізм замка висуває замикаючі рігелі в чотирьох напрямках. Таке замикання дверей, при достатній їх міцності, забезпечує високу стійкість проти злому. При виробництві замків підвищеної надійності використовують матеріали, що не піддаються свердлінню, що досягається застосуванням вольфраму. Грати захищають приміщення від проникнення через вікна, вентиляційні канали, освітлювальні шахти підвалів, інші комунікації. В приміщеннях, обладнаних охоронною сигналізацією, грати рекомендується ставити з внутрішьої і зовнішньої сторони вікна з тим, щоб ЗЛ не могли швидко проникнути в приміщення, не порушивши цілісність сигналізації. Для захисту вікон, вентиляційних каналів і т.д. використовують каркасні та безкаркасні грати. Вікна комор і інших приміщень в будівлях старої споруди слід захищати посиленими безкаркасними гратами, вікна підвалів – міцними стальними безкаркасними гратами. У каналах, що використовуються як аваріні виходи, грати повинні закриватися. При цьому замки гратів повинні розташовуватися зсередини. Безкаркасні грати закладаються безпосередньо в стіну. Товщина лозин гратів часто вибирається з естетичних міркувань. При цьому слід враховувати, що подвійними важельними ножицями без надмірних зусиль перекушується стальна лозина діаметром 10 мм. Тому діаметр лозин стальних безкаркасних гратів повинен бути не менший 20 мм. Відстань між лозинами – не більше 120 мм. Малюнок розташування лозин може бути довільним, однак найбільш захищеними є грати, лози яких розташовуються хрестом або ромбом. Грати необхідно встановлювати так, щоб їх не можна було зняти або розігнути. При вікнах, що відкриваються назовні, не можна розташовувати грати близько до вікна. Лози гратів, які розташовуються перпендикулярно, повинні розбвоюватися і не менше, ніж на 100 мм, закладатися в стіну. При цьому кожна з лозин закладається окремо. Місця перетину лозин (вузли гратів) повинні зварюватися або охоплюватися нерозрізними кільцями. При закладанні безкаркасних гратів відстань від зовнішнього краю стіни до гратів повинна бути не менше за 120 мм. Місце закладання гратів в стіну потрібно зміцнювати арматурою, що розташовується із зовнішньої сторони лозин гратів. При цьому не вдається вирвати лози по одній із стіни. Переріз лозин може бути довільним. Каркасні грати мають основу у вигляді рами. Вона виготовляється з металевого кутка із шириною полиці не менше за 30 мм. Розміри рами повинні відповідати розмірам отвору, в який вона вставляється. Чим менша відстань між рамою гратів і стіною отвору, тим важче її виламати. Діаметр лозин каркасних гратів повинен бути не менше за 15 мм. Лози приварюються до рами з внутрішньої сторони. В цьому разі їх важче обламати в місцях зварювання. Розташовуватися лози гратів повинні хрестом або ромбом з розміром осередку не більше за 120 (120 мм. Обов”язкова фіксація вузлів і замкненість всіх контурів гратів. На гратах можуть розміщуватися декоративні елементи, додатково завужуючи осередки. Ці елементи можуть кріпитися консольно. Для ускладнення відгинання консольно приварених елементів за допомогою обрізків труб обклепуються їх вільні кінці у вигляді декоративних елементів (наприклад, декоративного листя). Каркасні грати кріпляться до стіни штирями діаметром не менше за 20 мм. При цьому штирі захищаються стальними накладками. Накладки заваджають доступу до штирів, перерізанню штирів і приварюються до рами гратів. Штирі закладаються в стіну на глибину не менше за 100 мм з одного боку, і приварюються до гратів з іншого. Відстань між штирями повинна бути не більшоб за 500 мм. Розташовувати штирі необхідно по всьому периметру гратів з тим, щоб забезпечити максимальну жорсткість конструкції. Кріплення внутрішніх гратів може бути менш міцним, ніж зовнішніх. Внутрішні грати в приміщенні повинні закриватися на замок і відкриватися для забезпечення доступу до вікна. Розмір осередку внутрішніх гратів, як і зовнішніх, повинен бути не більше за 120 (120 мм. Замикаючі пристрої гратів. Для замикання гратів застосовують замки з мінімально протяжними скобами. Вони найменш зручні для взлому. Крім того, металевий лист, приварений в місці розташування замка, ускладнює доступ до замка з одного боку гратів. При висоті гратів більше за 1,5 м на них встановлюють два замки на відстані не менше за 50 см. Системи тривожної сигналізації Ссистеми тривожної сигналізації фіксують факт несанкціонованого доступу в підохоронну зону (системи охоронної сигналізації) або наявність пожежі (системи пожежної сигналізації), передають сигнал тривоги на приймально-контрольний прилад (пульт-концентратор) і далі, якщо передбачено, на пульт централізованого спостереження, вмикають виконуючі пристрої. Системи тривожної сигналізації складаються з : сповіщувачів; приймально-контрольного приладу; системи зв”язку між сповіщувачем і приймально-контрольним пунктом. При конструюванні системи сигналізації однією з центральних задач є вибір сповіщувачів. А. Сповіщувачі систем охоронної сигналізації Для реєстрації змін параметра, що контролюється, в системах охоронної сигналізації використовуються сповіщувачі (детектори). У відповідності до ДСТУ ІЕС 839-1-1:2001 сповіщувач (детектор) – це пристрій для формування стану тривоги в разі виявлення небезпеки. Сповіщувач – це пристрій, що формує певний сигнал про зміну того або іншого контрольованого параметру навколишнього середовища. Сповіщувач складається з чутливого елемента (сенсора), схеми обробки сигналів і схеми прийняття рішення. Прості сповіщувачі виконують аналогову обробку сигналів, що не завжди забезпечує необхідну надійність їх роботи. Підвищення надійності роботи сповіщувачів забезпечується застосуванням цифрових методів обробки сигналів. У відповідності до ДСТУ ІЕС 839-1-1:2001чутливий елемент (сенсор) – це частина сповіщувача, призначена для виявлення зміни стану, що вказує на наявність небезпеки. Сенсор перетворюєпараметр, що контролюється, в електричний сигнал. Сенсори систем охоронної сигналізації фіксують, в основному, неелектричні величини. Сповіщувачі є основними елементами охоронної сигналізації, які багато в чому визначають ефективність її використання. Вони призначені для: фіксації (виявлення) факту порушення безпеки підохоронного об”єкту; передачі тривожного повідомлення на приймально-контрольний прилад. Існують сповіщувачі (сенсори), що сигналізують про: проникнення ЗЛ на територію (охорона периметра); перелізання ЗЛ через огородження; проникнення ЗЛ в будівлю через двері або проходження через ворота; проникнення в будівлю через вікно; знаходження ЗЛ на підохоронній території; знаходження ЗЛ в підохоронному приміщенні. Для сигналізації про несанкціоновані дії ЗЛ в різних підохоронних зонах застосовують сповіщувачі (сенсори) різних видів (табл. __). Таблиця ___ . Класифікація сповіщувачів за призначенням Підохоронна зона Можливі несанкціоновані дії ЗЛ Призначення сповіщувачів сигналізації
Територія Перетинання межі території при відсутності огородження Сповіщувачі сигналізації про перетинання ЗЛ підохоронного рубежу (охорона периметру території)
Перелізання через огородження (при наявності огородження) Сповіщувачі сигналізації про перелізання ЗЛ через огородження (охорона периметра території)
Несанкціоноване проходження через ворота в огородженні Сповіщувачі сигналізації про відкривання воріт
Пересування ЗЛ по території Сповіщувачі сигналізації про перебування (пересування) ЗЛ на підохоронній території, в тому числі, охорона периметру
Будівля, приміщення Проникнення ЗЛ в будівлю, приміщення через двері Сповіщувачі сигналізації про відкривання дверей
Будівля Проникнення ЗЛ в будівлю через вікно Сповіщувачі сигналізації про відкривання вікна; Сповіщувачі сигналізації про розбиття скла; Сповіщувачі сигналізації про вламування гратів
Будівля Виконання ЗЛ пролому в стіні Сповіщувачі сигналізації про виконання пролому (отвору) в стіні
Будівля, повурх, приміщення Перетинання межі підзахисної зони при відсутності завади (дверей, віконного скла і т.п.) Сповіщувачі сигналізації про перетинання ЗЛ підохоронного рубежу
Поверх, приміщення Пересування ЗЛ коридором ариміщення Сповіщувачі сигналізації про перебування (пересування) ЗЛ в підохоронній зоні
Сейф Викрадення сейфу Сповіщувачі сигналізації про наближення ЗЛ до сейфу; Сповіщувачі сигналізації про спробу перемістити сейф
Сьогодні розроблені і використовується велика кількість самих різноманітних сповіщувачів (сенсорів) сигналізації). Розглянемо стисло принципи дії, відмінні особливості і способи застосування найбільш поширених сенсорів. Периметральні сенсори натяжної дії. Сенсори цього типу складаються з декількох рядів натянутого дроту, приєднаного до механічних мимикачів. Найменше відгинання дроту спричиняє спрацювання сигналізації. Для монтажу сенсорів натяжної дії використовується, як правило, колючий дріт. Вимикачі встановлюються на спеціальних стойках, які відстоять одна від однієї приблизно на 60 см. Дріт натягується із зусиллям до 45 кг, механізм вимикача спрацьовує при відгинанні дроту понад 2 мм. Подолання таких сенсорів можливе за рахунок перелізання на стойках, на яких вони встановлюються. Периметральні інфраакустичні сенсори встановлюються на металевих огорожах і вловлюють низькочастотні звукові коливання огорож під час їх подолання. Можливі помилкові спрацювання таких сенсорів на вуличні шуми від близько розташованих доріг. Периметральні сенсори електричного поля складаються з випромінювача і кількох приймачів. Всі частини сенсора виконані з електричних кабелів, натягнених між стовпами. Під час проходження порушника між випромінювачем і приймачем має місце зміна електричного поля між ними, яка і є сигналом тривоги. Периметральні вібраційні сенсори являють собоюконтактні вимикачі різних видів, з”єднані послідовно або паралельно. Сенсори кріпляться на стовпах або сітках огорожі і спрацьовують від гойдання, струсу чи вібрацій. Такі сенсори обладнуються, як правило, мікропроцесорами для обробки сигналів від контактних вимикачів, формування і посилання команд тривоги на приймально-контрольні прилади. Контактні вимикачі вібраційних сенсорів за принципом дії бувають ртутними, кульковими, п”єзоелектричними і маятниковими. Периметральні електретні сенсори виготовляються з коаксіального кабелю з радіально поляризованим діелектриком. Такий кабель натягується через огорожу периметра об”єкта. В момент подолання огородження відбувається струс кабеля і, відповідно, зміна електричного сигналу, що проходить через кабель. Як і вібраційні, електретні сенсори оснащуються мікропроцесорами для контролю порогового рівня спрацювання і можуть бути відрегульовані на розпізнання впливів, що викликаються вітром, кинутим камінням або іншими предметами, тваринами, птахами, вібрацією грунту від рухомих транспортних засобів, градом або снігом, землетрусом тощо. Периметральні вібраційні і електретні сенсори можна подолати шляхом глибокого підкопу або зверху без торкання до инх. Інфрачервоні сенсори контролю простору. Принцип дії сенсорів полягає в зміні сигналу від випромінювача до приймача при попаданні порушника між ними. Як випромінювачі використовуються ІЧ світлодіоди або невеликі лазерні установки. Відстань між випромінювачем і приймачем не більше 100 м. На спеціальні стовпи встановлюють кілька таких пристроїв для створення вертикальної смуги виявлення необхідної висоти. Для підвищення надійності іноді використовується частотна модуляція сигналу випромінювання. Сенсори можуть втрачати свою працездатність при густому тумані чи снігопаді. Мікрохвильові сенсори контролю простору складаються з двох частин: надчастотних передавача та приймача, які встановлюються на відстані до 150 м один від одного. У цьому просторі між ними створюється електромагнітне поле, зміна якого при спробі проходу реєструється приймачем. Для ефективної роботи таких сенсорів необхідно, щоб висота нерівностей грунту не перевищувала 5-7 см, а в зоні дії не було рослинності. Сейсмічні сенсори в наш час виготовляються двох видів. Перший, рідинний, складається з двох укладених поряд в грунт шлангів з рідиною. Спрацювання таких сенсорів відбувається при зміні тиску в одному з шлангів при проходженні порушника. Принцип дії сенсорів другого виду заснований на п”єзоелектричному ефекті, при якому відбувається зміна електричного сигналу при тиску на п”єзоелемент. Обидва види сейсмічних сенсорів чутливі до стороніх вібрацій, що викликаються, наприклад, проїзджаючим автотранспортом або вітром. Сейсмічні сенсори використовуються для охорони периметрів територій і будівель, встановлюються потйки в грунт, під стіни і будівельні конструкції. Сейсмомагнітні сенсори виконуються у вигляді електричного кабеля, укладеного в грунт. Електричний сигнал змінюється під впливом як сейсмічних, так і магнітних подразнень, наприклад, при проході людини і спробі пронести зброю. Наявність металу викликає індукційні зміни електричного поля дротяної сітки, що і викликає сигнал тривоги. Сейсмомагнітні сенсори не ефективні поблизу автомобільних і залізничних доріг. Можливі помилкові спрацювання від грозових розрядів, потужних електродвигунів і реле. Контактні сенсори відносяться до найпростіших. Зазвичай вони встановлюються на двері і вікна підохоронного приміщення. Контактні сенсори поділяються на електроконтактні, магнітні (магнітоконтактні) і механічні. Електроконтактні сенсори являють собою стрічку з тонкої алюмінієвої фольги. Вона наклеюється на скло, двері, стіни і т.п. При руйнуванні основи, на яку наклеєна стрічка, вона рветься і розриває електричне коло. Для підключення до шлейфа охоронної сигналізації стрічка затискується в утримувачі (клеми), які приклеюються до тієї ж основи, що і стрічка. Магнітний (магнітоконтактний) сенсор складається з двох частин: гаркона (герметичний контакт), що встановлюється на нерухому частину конструкції, і магнітна, що встановлюється на її частину, що відкривається. Коли конструкція (двері, ворота, вікно і т.п.) зачинена, магніт знаходится поблизу геркона і контакти геркона знаходяться в замкненому стані. При відкриванні магніт віддаляється від геркона, контакти геркона розмикаються і розривається електричне коло. При застосуванні магнітного сповіщувача для сигналізації про зламування гратів геркон закладають в стіну, а на гратах, навпроти геркона, закріпляють замаскований магніт. У раз зняття гратів контакт геркона розмикається. Магнітні (магнітоконтактні) сенсори випускаються двох типів: для зовнішнього і прихованого встановлення. Системи телевізійного спостереження Засоби відбиття (нейтралізації) загроз Вибір технічних засобів захисту об”єкта Захист мобільних об”єктів. Загальні положення Рекомендації з підбору охоронців для забезпечення збереженості вантажів Аналіз стану охорони вантажів Організація процесу охорони вантажів Особливості охорони вантажів при використанні окремих видів транспорту Контроль доступу в зони безпеки. Засоби контролю доступу за пропускними документами Системи автоматизованого контролю доступу Ідентифікація осіб за біометричними ознаками Виконавчі пристрої Захист машинних носіїв інформації 4.3. Захист машинних носіїв інформації Проблема захисту машинних носіїв інформації (МНІ) в АС вирішується в основному за рахунок організаційно-режимних заходів, що унеможливлюють або істотно обмежують доступ ЗЛ до МНІ і документальних матеріалів АС. Методи НСД до МНІ, по суті, збігаються з методами подолання звичайних засобів захисту від фізичного проникнення в локалізований простір, що захищається. В зв”язку з цим одним з найбільш надійних підходів до захисту МНІ є їх фізичний захист. Однак захист МНІ має певну специфіку, зумовлену їх реалізацією та організацією (6-А(. Незалежно від типу носія дані на носіях зберігаються блоками (секторами, кластерами і т.п.). Як відомо, до доступу до даних МНІ існують два основні способи: послідовний доступ, коли блоки записуються один за одним і для читання наступного потрібно пройти всі попередні; прямий (довільний) доступ, який відрізняється тим, що блоки записуються і читаються в довільному порядку. Крім цього, МНІ характеризуються: різними фізичними принципами реалізації; широким спектром обсягів збереженої інформації – від одиниць до десятків тисяч мегабайт; різноманіттям конкретної реалізації носіїв різними виробниками. З огляду на ці умови завдання отриманням ЗЛ доступу до інформації на машинному носії може бути представлене як послідовність наступних підзавдань: вибір відповідного заданому носію приводу – найбільш значущого для забезпечення доступу; запуск відповідного даному приводу комплексу програм (ОС, драйвери приводу і т.п.); забезпечення порядку використання програм і приводу для зчитування в пам”ять комп”ютерної системи вмісту носія інформації. Зловмисник не може отримати доступ до інформації на машинних носіях у двох випадках: коли зловмисникові недоступний сам носій; коли зловмисникові доступний носій, але відсутні засоби взаємодії з носієм. Слід зазначити, що на сьогодні розроблено МНІ (наприклад, Zip фірми Lomega) із вбудованими в сам носій (!) засобами захисту, тобто для звертання до такого накопичувача задається пароль доступу, і в результаті прочитати чи взагалі отримати доступ до вмісту носія не можна ні на якому іншому приводі. Однак поки що найбільш типовою є ситуація, коли в захищеній АС використовуються розповсюджені МНІ, а значить, у потенційного ЗЛ існує можливість отримати на своєму приводі доступ до бітового представлення даних носія, що захищається. В цьому випадку практично єдиним виходом є організаційні заходи захисту – заходи загального характеру, що утруднюють доступ ЗЛ до конфіденційної інформації незалежно від способу обробки інформації і каналів витоку (кналів впливу). Основними завданнями забезпечення інформаційної безпеки АС від загрози конфіденційності на рівні МНІ є (6-А(: виключення проходження носіїв по технологічних ділянках, не зумовлених виробничою необхідністю; попередження безпосереднього доступу до ноіїв персоналу, що не відповідає за операції з носіями (мінімізація доступу), попередження втрати чи розкрадання носіїв інформації. Перше завдання вирішується за рахунок раціональної організації виробничого процесу руху носіїв інформації, що забезпечує цілеспрямований розподіл носіїв по технологічних ділянках, другий – за рахунок чіткої та обгрунтованої рекомендації порядку поводження з носіями. Регламентація поводження з носіями передбачає виконання комплексу заходів: запис інформації (створення носіїв з інформацією) на робочих місцях, що забезпечує умови для запобігання витоку по технічних каналах і фізичного збереження носіїв; постановку на облік МНІ з проставленням відповідного маркування на зареєстрованому носієві. Одним з елементів маркування повинен бути гриф таємності інформації, що зберігається на даному носію; передачу МНІ між підрозділами організації, що експлуатує АС, під розписку; винос МНІ за межі організації лише з дозволу уповноважених осіб; збереження МНІ в умовах, що виключають НСД сторонніх. Для збереження рекомендується використовувати шафи, що надійно замикаються та опечатуються. Належні умови зберігання повинні бути забезпечені для всіх врахованих носіїв, незалежно від того, перебувають вони в експлуатації чи ні; Знищення МНІ, що втратили свої експлуатаційні характеристики чи не використовуються через перехід на новий тип носіїв, спеціально організованими комісіями відповідно до актів, затверджених уповноваженими особами. Знищення носіїв інформації повинно проводитися шляхом їх фізичного знищення, яке не допускає відновлення і повторного використання носіїв. Перед знищенням конфіденційна інформація повинна бути по можливості гарантовано вилучена. Передачу в ремонт засобів обчислювальної техніки без МНІ, що можуть містити конфіденційну інформацію (без накопичувачів на твердих лисках і т.п.). У випадку ремонту МНІ конфіденційна інформація повинна бути гарантовано вилучена. Якщо видалити інформацію неможливо, рішення про ремонт здійснюється в присутності особи, відповідальної за збереження інформації на даному носію; Періодичний контроль контролюючими підрозділами дотримання правил поводження з носіями та їх фізичного збереження. Відповідно до даних умов можна встановити вимоги, які слід висунути до обслуговуючого персоналу АС. Особам, що експлуатують і обслуговують АС, забороняється: будь-кому і будь-якій формі повідомляти, якщо це не викликане службовою необхідністю, відомості про характер роботи, що виконується в АС, про порядок захисту, обліку та збереження МНІ, про систему охорони і пропускний режим об”єкту; використовувати для роботи з конфіденційною інформацією незареєстровані МНІ; зберігати на МНІ інформацію з більш високим ступенем таємності, ніж визначено для для нього на момент реєстрації; працювати з неврахованими екземплярами конфіденційних документів, отриманих у ході звернень в АС, і передавати їх іншим співробітникам; виносити з приміщень, де встановлені ЗОТ АС, без дозволу відповідальних за режим у цих приміщеннях: МНІ, що містять конфіденційні дані, підготовлені в АС документи, а також іншу документацію, окремі блоки, апаратуру та інше обладнаня; вносити в приміщення, де розташовані ЗОТ АС, стороннє майно і матеріали, в тому числі кінофотоапаратуру і радіоапаратуру; приймати і передавати МНІ і документи без відповідної розписки в опублікованих документах, знайомити з ними інших співробітників без дозволу відповідних посадових осіб; робити на етикетках МНІ чи на інших упаковках позначки і написи, що розкривають вміст цих носіїв; знищувати МНІ і документи і документи без санкції відповідної посадової особи і оформлення у встановленому порядку; проводити в АС обробку конфіденційної інформації і виконувати інші роботи, не обумовлені завданнями, запитами, що надходять, та інструкціями з експлуатації АС, атакож знайомитися із вмістом МНІ і документами з питань, що немають відношення до службових обов"я”ків. Крім наведених заходів захисту для забезпечення конфіденційності інформації виділяються також організаційні заходи для збереження цілісності інформації на МНІ: створення резервних копій інформації, збереженої на МНІ; забезпечення правильних умов зберігання та експлуатації. Створення резервних копій інформації, що зберігається на МНІ, повинно бути регулярною процедурою, періодичність якої залежить від технології обробки інформації, зокрема, від обсягу даних, що вводяться, важливості інформації, можливості повторного введення і т.п. Для створення резервних копій можуть використовуватися як стандартні утиліти, що зберігають обрані файли чи каталоги, так і спеціалізовані системи резервного копіювання, адаптовані до конкретної АС. Існують також технологічні заходи контролю цілісності бітових послідовностей, що зберігаються на МНІ, що реалізуються за допомогою циклічних контрольних кодів (6-А(.
5. Захист інформації в АС від несанкціонованого доступ 5.1. Методи та види НСД Під НСД слід розуміти доступ до інформації з використанням засобів, включених до складу комп”ютерної системи (КС), що порушує встановлені правила розмежування доступу (ПРД). НСД може здійснюватия як з використанням штатних засобів, тобто сукупності програмно-апаратного забезпечення, включеного до складу КС розробником під час розробки або системним адміністратором в процесі експлуатації, що входять у затвердженну конфігурацію КС, так і з використанням програмно-апаратних засобів, включених до складу КС зловмисником. Під захистом від НСД слід розуміти діяльність, спрямовану на забезпечення додержання ПРД шляхом створення і підтримки в дієздатному стані системи заходів із захисту інформації. До основних способів НСД належать: безпосереднє звернення до об”єктів з метою отримання певного виду доступу; створення програмно-апаратних засобів, що виконують звернення до об”єктів в обхід засобів захисту; модифікація засобів захисту, що дозволяє здійснити НСД; впровадження в КС програмних або апаратних механізмів, що порушують структуру і функції КС і дають можливість здійснити НСД. Можна також виділити наступні узагальнюючі категорії методів захисту від НСД (2-А(: організаційні; технологічні; правові. До першої категорії слід віднести заходи та засоби, що регламентуються внутрішніми інструкціями організації. Приклад такого захисту – присвоєння грифів секретності документам і матеріалам, що зберігаються у виділеному приміщені, і контроль доступу до них персоналу. Другу категорію становлять механізми захисту, що реалізуються на базі програмно-апаратних засобів, наприклад систем ідентифікації і автентифікації або охоронної сигналізації. І остання категорія включає заходи контролю за виконанням нормативних актів загальнодержавного значення, механізми розробки і вдосконалення нормативної бази, яка регулює питання захисту інформації. Методи, що реалізуються на практиці, як правило, об"єднують в собі елементи всіх категорій. Так, управління доступом до приміщень може являти собою комбінацію організаційних (видача допусків і ключів) і технологічних (встановлення замків і систем сигналізації) способів захисту. Серед методів реалізації НСД до інформації в АС виділимо наступні: Обхідний шлях – це блок, вбудований у велику програму, який зазвичай керується простими командами ЕОМ, що дає можливість здійснювати її обробку засобами ОС, а це, в свою чергу, дає змогу обійти систему захисту або реєстрацію в системному журналі. Звичайно ділянки програми, в яких реалізовано обхідний шлях (люк), вбудовуються в процес розробки великих прграмних комплексів, що призначені для виконання трудомістких функцій. Можливе також виявлення обхідних шляхів, вбудованих в ОС, що допомагає ЗЛ здійснювати НСД; “Троянський кінь” – програма, яка реалізує функції знищення файлів і зміни їх захисту.Складний “троянський кінь” може бути запрограмований таким чином, що при зміні захисту може подавати ЗЛ умовний сигнал про можливість доступу до файлів. Після подачі сигналу “троянський кінь” деякий час очікує, а потім повертає файл у початковий стан. Отже, такий алгоритм дозволяє ЗЛ будь-які несанкціоновані дії з файлами без їх реєстрації; Логічна бомба – програма або частина програми, яка реалізує деяку функцію при виконанні певної умови. Логічні бомби використовуються для модифікації або знищення інформації, рідше для крадіжок або шахрайства; Атака – використання вразливостей ПЗ АС для досягнення цілей, що виходять за межі допуску даного суб”єкта в АС. Наприклад, якщо користувач не має права на читання деяких даних, то він здійснює ряд відомих йому нестандартних маніпуляцій, які або забезпечують йому доступ до них, або завершуються невдачею; Між рядків – підключення до лінії зв”язку і проникнення ЗЛ в комп”ютерну систему з використанням проміжків часу між діями законного користувача; Аналіз графіка – аналіз частоти і методів контактів користувачів в А. При цьому виявляються правила користувачів до зв”язку, після чого ЗЛ здійснюється спроба НСД під виглядом законногокористувача; Розрив лінії – переключення лінії зв”язку від користувача по закінченні його сеансу зв”язку або через розрив лінії. При цьому дана подія не реєструється і АС працює з ЗЛ, як із законним користувачем; Маскарад – використання для виходу до системи інформації про законного користувача, яка стала відомою ЗЛ; Підкладення свині – підключння до лінії зв”язку та імітація роботи системи з метою отримання інформації про ідентифікацію користувача. Наприклад, ЗЛ може імітувати зависання системи і процедуру повторного входк до неї. Користувач, нічого не підозрюючи про це, знову вводить свій ідентифікатор і пароль, після чого ЗЛ повертає йому управління з нормально працюючою системою; Повторне використання ресурсів – зчитування остаточної інформації, що призначена для знищення. Як об”єкти атаки можуть виступати не лише блоки файлів, а й різного роду буфери, кадри сторінок пам”яті, сектори магнітних дисків, зони магнітних стрічок, реєстри пам”яті і т.д. Для зчитування даних прямо з пам”яті іноді достатньо створити невелику програму, яка робить запит під час виконання динамічного виділення пам”яті невеликого об”єкту. Далі в результаті навмисної помилки ця програма може аварійно завершитися з видачею “посмертного” дампа, який якраз і містить інформацію всіх ділянок пам”яті, яка використовувалася перед цим; Використання комп”ютерного вірусу – використання набору команд ЕОМ, який виробляє і розповсюджує свої копії в мережах і навмисно виконує дії, що небажані для законних користувачів. Крім того, він характеризується можливістю маскуватися від спроб виявлення. Розрізняють дві основні групи вірусних програм – вірус, що використовується для руйнування електронної пошти або комунікаційної мережі, і вірус, який модифікує чи знищує інформацію або діє на захист АС; Використання програми-імітатора – імітація роботи того чи іншого елемента мережі і створення у користувача АС ілюзії взаємодії з системою з метою, наприклад, перехоплення інформації користувача. Зокрема, екранний імітатор дозволяє заволодіти паролями або кодами користувачів. Наведені методи можуть застосовуватися для реалізації таких найбільш поширених сценаріїв НСД: пергляд інформації; копіювання програм та даних; читання даних з лінії зв”язку; зміна потоку повідомлень; закладки; зміна алгоритмів програм; зміна апаратної частини АС; зміна режиму обслуговування або умов експлуатації; перевірка функціонування АС або її компонентів; перерва потоку повідомлень;\перерва компонент ПЗ; перерва процесу функціонування або його складових; фізичне руйнування апаратних засобів мережі; підробка; додавання фальшивих процесів і підміна справжніх процесів фальшивими; додавання фальшивих апаратних засобів; імітація роботи апаратно-програмних компонент мережі з боку суб”єктів загрози. Звичайно, можуть використовуватися різні комбінації наведених вище сценаріїв, що надзвичайно утруднює організацію захисту від НСД. 5.2. Канали витоку інформації
В прпередніх розділах розглядалися канали витоку інформації з суто технічного боку. Зараз розглянемо дане питання докладніше. При обробці інформації в АС завжди маємо обмін інформацією між об”єктами АС, отже, можемо говорити про наявність каналів обміну або каналів витоку інформації. Канал витоку інформації – сукупність джерела інформації, матеріального носія або середовища розповсюдження сигналу, що несе вказану інформацію, і засобу виділення інформації з сигналу або носія. З точки зору захисту інформації канали та інформаційні потоки бувають законними або незаконними. Незаконні інформаційні потоки створюють витік інформації і тим самим можуть порушувати конфіденційність даних, тобто через канал витоку реалізуються загрози конфіденційності інформації в АС або НСД до даних. Зрозуміло, що СЗІ повинна контролювати по можливості всі відомі канали витоку. Однак, по-перше, навіть відомі канали іноді важко контролювати, а, по-друге, ще складніше виявити всі існуючі в АС канали витоку. Таким чином, у будь-якій АС можна виділити відкриті канали витоку (тобто канали, які вдалося ідентифікувати і які контролюються засобами захисту) і приховані, коли витік відбувається шляхом, який не контролється засобами захисту. Отже, далі розглянемо канали витоку інформації як можливість неконтрольованого поширення інформації, що призводить до несанкціонованого отримання і/або модифікації інформації. Найбільш загальною класифікацією каналів витоку може бути така: несанкціонований доступ (НСД) – канал спеціального впливу ЗЛ, який використовуючи штатні засоби доступу до інформаційних ресурсів, порушує встановлені правила розмежування доступу з метою реалізації будь-яких з основних видів загроз для інформації; канал спеціального недопустимого регламентом впливу на параметри середовища функціонування, здійснюваного з метою порушення доступності в АС; канал спеціального впливу нештатними програмними і/або програмно-технічними засобами на елементи обладнання, програми, дані та процеси в АС, що встановлюються в процесі її експлуатації, з метою реалізації будь-яких з основних видів загроз для інформації; канали спеціального впливу на компоненти АС за допомогою закладних пристроїв і/або програмних закладок, впроваджених в середовище функціонування АС на передексплуатаційних стадіях її життєвого циклу, що здійснюються з метою реалізації будь-яких з основних видів загроз для інформації; канал витоку інформації, утворений за допомогою використання інформативних параметрів побічного електромагнітного випромінювання та наведень (ПЕМВН) з метою порушення конфіденційності; канал витоку інформації, утворений за допомогою використання побічних акусто-електричних перетворень інформативних сигналів в кінцевому обладнанні з метою порушення конфіденційності; канал реалізації будь-яких з основних видів загроз для інформації, утворений за рахунок використання випадкових збоїв та відмов у роботі обладнання; канал спеціального впливу на компоненти АС за допомогою впровадження комп”ютерних вірусів. З точки зору способу реалізації можна виділити фізичні та інформаційні канали витоку інформації. Звичайно, всі канали витоку з попередньої класифікації можуть реалізуватися за допомогою фізичних та інформаційних каналів витоку інформації. Зазначимо, що іноді дуже важко віднести конкретний канал до певноїгрупи, тобто наведені класифікації носять досить умовний характер. Виділяють наступні фізичні канали витоку: Електромагнітний канал. Причиною його виникнення є електромагнітне поле, пов”язане з проходженням електричного струму в технічних засобах АС. Електромагнітне поле може індукувати струми в близько розміщених провідних лініях (наводки). Електромагнітний канал, в свою чергу, ділиться на такі канали: радіоканал (исокочастотне випромінювання); низькочастотний канал; мережевий канал (наводки на мережу електроживлення); канал заземлення (наводеи на проводи заземлення); лінійний канал (наводки на лінії зв”язку між ПЕОМ). Акустичний (віброакустичний) канал. Він пов”язаний з розповсюдженням звукових хвиль в повітрі або пружних коливань в іншому середовищі, які виникають при роботі засобів відображення інформації АС. Оптичний канал. Він пов2язаний з можливістю отримання інформації за допомогою оптичних засобів. Серед інформаційних каналів витоку найбільш розповсюдженим є канал за пам”яттю, тобто канал, що виникає за рахунок використання доступу до спільних об”єктів системи (як правило, спільна пам”ять). Графічно канал можна зобразити так: U1 ( S (O ( U2 Користувач U1 акивізує деякий процес S, за допомогою якого може отримати доступ до спільного з користувачем U2 ресурсу О, при цьому U2 може писати в О, а U1 може читати з О за допомогою S. Наприклад, у каталог О внесено імена файлів. Доступ до самих файлів для користувача U1 закритий, а доступ до каталогі можливий. Якщо користувач U2 створий закритий файл, то інформація по файлову структуру стала доступною для U1. Отже, виник витік частини інформації, що належить користувачу U2, зокремв існування чи не існування конкретного файлу – 1 біт інформації. Захист здійснюється шляхом контролю доступу. Настуеним інформаційним каналом витоку є часовий канал. Часовий канал є каналом, що передає ЗЛ інформацію не про весь процес, а лише про його модулювання важливою закритою інформацією. Графічно часовий канал можна зобразити наступною схемою: U1 ( S ( Sm ( Sc ( U2 Тут U1 – зловмисник; U2 – користувач, що оперує важливою інформацією; Sc – процес, інформація про який цікава для U1; Sm – процес, що модулюється інформацією процесу Sc; S – процес від імені користувача U1, який дозволяє спостерігати процес Sm. Захист інформації організується за допомогою контролю доступу та організаційних заходів. Відмінність даного каналу витоку інформації від каналу за пам”яттю полягає в тому, що ЗЛ отримує не саму конфіденційну інформацію, а дані про операції над нею. Як правило, він користується з метою подальшого вилучення інформації з каналу за пам”яттю. Отже, часовий канал є слабшим каналом витоку, тобто менш інформативним, в порівнянні з каналом за пам”яттю. Інформаційність такого каналу визначається тією часткою цінної інформації про процес Sc, яка отримується за рахунок його модуляції. Нехай, наприклад, процес Sc використовує принтер для друку чергового циклу обробки важливої інформації. Процес Sm визначається роботою принтера, який є спільним ресурсом U1 та U2. Тоді в одинийях частоти роботи принтера U1 отримує інформацію про періоди обробки процесом Sc важливої інформаці., а це вже є витоком інформації. Іншим каналом витоку інформації за часом є канал зв”язку. За рахунок передачі безпосереднього доступу до процесу обробки (передачі) важливої інформації вона знімається, накопичується і відновлюється. Такий канал перекривається за допомогою криптографії. Більш загальним поняттям порівняно з каналом витоку є канал дії на АС. Він може включати зміни компонент АС – активну дію – загрозу властивості цілісності. Справа в тому, що основна загроза для конфіденційності – це незаконне ознайомлення з інформацією, тобто на саму інформацію активної дії не має. Виявляється, що для опису такої загрози достатнім є поняття каналу витоку. Для цілісності ж основна загроза – це незаконна модифікація інформації, тобто активна дія на інформацію з боку порушника. Отже, замість звичайного каналу витоку зручно ввести поняття каналу дії на цілісність. Основою захисту цілісності є своєчасне регулярне копіювання цінної інформаці. Інший клас механізмів захисту цілісності, який базується на ідеї перешкод захищеного кодування інформації (введення надмірності в інформацію), становить основу контролю цілісності. Він будується на автентифікації, тобто підтвердженні справжності, цілісності інформації. Підтвердження справжності зберігає цілісність інтерфейсу, а використання кодів автентифікації дає змогу контролювати цілісність файлів і повідомлень. Ведення надмірності в мові і формальне задання специфікації дають можливість контролювати цілісність інформації. Крім того, до механізмів контролю і захисту цілісності інформації слід віднести створення системної надмірності. У військовій практиці такі заходи називають підвищенням “живучості” системи. Використання таких механізмів дозволяє також розв”язувати задачі стійкості до помилок і задачі захисту від порушень доступності. Додамо, що будь-які канали витоку можуть бут контактними (коли здійснюється безпосередній доступ до елементів АС) або безконтактним (коли відбувається візкальне перехоплення інформації або перехоплення за рахунок випромінювань). 5.3. Поняття загрози інформаії Загроза інформації є основним поняттям інформаційної безпеки. З усієї множини способів класифікації загроз найбільш придатною для аналізу є класифікація загроз за результатами їх впливу на інформацію. Як відомо (17-А(, основними властивостями інформації, що визначають її цінність, є конфіденційність, цілісність, доступність і спостережність. Отже, з цього погляду в АС розрізняються такі класи загроз івнформації: порушення конфіденційності (ПК); порушення цілісності (логічної – ПЛЦ чи фізичної – ПФЦ); порушення доступності чи відмовлення в обслуговуванні (ПД); порушення спостережності чи керованості (ПС). Зафіксовано, що для забезпечення кожної з виділених основних властивостей захищеної інформації встановлено певний набір послуг. Це дозволяє ввести наступний рівень загроз, трактуючи реалізацію яких-небудь послуг в неповному обсязі чи взагалі їх невиконання (можливо, навмисне) як деякі загрози. Аналіз нормативних документів (17-20-А( показує, що цей рівень може включати такі загрози: порушення конфіденційності; а) загрози при керуванні потоками інформації (ПКП); б) загрози існування безконтрольних потоків інформації (наявність схованих каналів) (ПКБ); в) порушення конфіденційності при обміні – загрози про експорт/імпорт інформації через незахищене середовище (ПКО); порушення цілісності: а) загрози при керуванні потоками інформації (ПЛЦП, ПФЦП); б) неможливість повернення (відкату) захищеного об”єкта у вихідний стан (ПЛЦВ, ПФЦВ); в) порушення цілісності при обміні – загрози при експорті/імпорті інформації через незахищене середовище (ПЛЦО, ПФЦО); порушення доступності чи відмова в обслуговуванні: а) порушення при керуванні послугами і ресурсами користувача (ПДК); б) порушення стійкості до відмови (ПДС); в) порушення при гарячій заміні (ПДГ); г) порушення при відновленні після збоїв (ПДВ); порушення спостережності чи керованості: а) прорушення при реєстрації небезпечних дій (ПСР); б) порушення при ідентифікації та автентифікації (ПСІ); несанкціоноване використання інформаційних ресурсів (НВ). Таким чином, при переході до рівня послуг отримано новий рівень загроз – розширений і більш конкретний. Якщо рухатися в цьому напрямку далі, тобто перейти, наприклад, на рівень реалізації кожної з послуг, то можна отримати ще конкретніший набір загроз, оскільки, відповідно до (17-А(, для реалізації кожної з послуг необхідно здійснити ще більш конкретні умови і дії. Тобто, відповідно до (17-А(, вийде повний перелік послуг. Визначимо деякі важливі особливості наведеної класифікації загроз: вона однаково застосовна до кожної з відомих класів АС (17-А(; до кожної із загроз не прив”язуються які небудь конкретні фізичні причини їх виникнення; вона залишається відкритою, тобто кожнк з загроз можна конкретизувати далі, отримавши більш докладну і розширену їх множину на новому рівні. Поставимо тепер питання про практичну реалізацію цих загроз і причини їх виникнення. Неважко помітити, що подані в такий визначення загроз враховують лише деякі абстрактні небажані впливи на інформацію, що захищається, і фактично не містять жодних конструктивних аспектів, що істотно утруднює їх практичне використання. З іншого боку, у (17-А( загрози неявно визначаються в такий спосіб: “Загроза оброблювальної в АС інформації залежить від характеристик КС, фізичного середовища, персоналу та оброблювальної інформації. Загрози можуть мати або об”єктивну природу, наприклад, зміна умов фізичного середовища (пожежі, повені і т.п.) чи відмова елементів обчислювальної системи, або суб”єктивну, наприклад, помилки персоналу чи дії ЗЛ. Загрози, що мають суб”єктивну природу, можуть бути випадковими або навмисними”. Отже, доходимо висновку, що на будь-якому об”єкті будь-якої АС можуть здійснюватися певні обставини, події чи фактори, що будуть перешкоджати реалізації конкретних захисних механізмів і заходів, створюючи тим самим відмічені вище загрози. При цьому вони будуть безпосередньо пов”язані з цими загрозами і будуть, власне кажучи, їхніми причинами. Ці обставини, події чи фактори можна охарактеризувати в такий спосіб: вони об”єктивно існують і можуть реалізовуватися в будь-який момент часу на будь-якому об”єкті АС, де обробляється інформація, що підлягає захисту; вони не зводяться до загроз; озин і той же процес чи подія в одному випадку призводить до загроз, а в іншому – не являє собою жодної небезпеки для інформації; їх можна явно описати і класифікувати; для кожного такого фактору існує можливість явно встановити, з якими видами загроз він пов”язаний; для кожного такого фактору існує можливість визначити канали витоку інформації; виникає можливість здійснювати конкретні дії з метою протидії загрозам. Таким чином, виявляється, що загрози виникають внаслідок реалізації цих факторів, тобто є їх результатом. Наділі ці фактори будемо називати дестабілізуючими (ДФ). Як показує подальший аналіз, введення поняття ДФ цілком логічно виправдене і допомагає отримати просту, зрозумілу і наочнк схему для створення моделі загроз. 5.4. Моделі загроз та порушника Дестабілізуючі фактори (ДФ) – це такі явища чи події, що можуть з”явитися на будь-якому етапі життєвого циклу (ЖЦ) Ас і наслідком якої можуть бути загрози інформації. Впродовж ЖЦ АС може виникати багато ДФ різноманітної природи. Тому, аналогічно (3(, на основі аналізу архітектури, технології та умов функціонування АС і всіх можливих принципів ДФ зручно ввести поняття типу ДФ, що дає підставу класифікувати ДФ за способами їх реалізації. Вважаючи, що ця класифікація є вичерпною, виділемо наступні типи ДФ: кількісна недостатність – фізична недостача компонентів АС для забезпечення необхідного рівня захищеності оброблювальної інформації; якісна недостатність – недосконалість конструкції чи організації компонентів АС, внаслідок чого не забезпечується необхідний рівень захищеності оброблювальної інформації; відмова елементів АС – порушення працездатності елементів, що призводить до неможливості виконання ними своїх функцій; збій елементів АС – тимчасове порушення працездатності елементів, що призводить до неправильного виконання ними в цей момент своїх функцій; помилки елементів АС – неправильне (одноразове чи систематичне) виконання елементами своїх функцій внаслідок специфічного (постійного і/або тимчасового) їхнього стану; стихійні лиха – випадкові неконтрольовані явища, що призводять до фізичних руйнувань; злочинні дії – дії людей, що спеціально спрямовані на порушення захищеної інформації; побічні явища – явища, що супроводжують виконання елементом АС своїх функцій. Звідси видно, що ДФ можуть мати об”єктивну природу (наприклад, відмови, збої і т.п.) чи суб”єктивну (наприклад, дії ЗЛ). В останньому випадку ДФ можуть бути випадковими чи навмисними. Зауважимо, що характеристика випадковоств чи навмисності може бути відносною. Напиклад, в (5( відзначається, що іноді свідомо додані в програмне забезпечення функції можуть заздалегідь визначити можливість ненавмисних дій (приміром, при дистанційному налагодженні чи настроюванні систем). Подальший аналіз ДФ показує, що важливо класифікувати ДФ за джерелами їх виникнення. Очевидно, що джерелами ДФ можуть бути як компоненти АС, так і зовнішнє середовище. Виділяються наступні джерела ДФ: а) персонал – люди, що мають яке-небудь відношення до функціонування АС; б) технічні засоби; в) моделі, алгоритми, програми; г) технологія функціонування – сукупність засобів, прийомів, правил, заходів і угод, що використовуються в процесі обробки інформації; д) зовнішнє середовище – сукупність елементів, що не входять до складу АС, але здатні впливати на захищеність інформації в АС. Спільний розгляд типів ДФ та їхніх джерел показує, що формально може бути 40 різних сполучень “тип – джерело” ДФ. Однак фактично їх може бути менше, оскільки зазвичай, деякі з таких сполучень не мають практичного змісту. Дійсно, на якісну недостатність компонентів АС для захисту інформації аж ніяк не може прямо вплинути зовнішнє середовище. Перераховані типи і джерела ДФ зручно звести в таблицю, кожна клітинка якої відповідає ДФ певного типу з певного джерела (див. табл.____). Тип ДФ Джерело ДФ
Персонал Технічні пристрої Моделі, алгоритми, програми Технологія функціонування Зовнішнє середовище
У кожній клітинці таблиці ____ проставлено номери рядка і свобця. Відсутність чисел означає, що таке сполучення принципово не можу реалізуватися (отже), всього можливих сполучень – 32). Варто особливо звернути увагу на те, що в дійсності кожна клітинка мстить не один ДФ певного типу з певного джерела, а цілу їх множину. Зауважимо також, що перший стовбець і сьомий рядок таблиці ___ містять множину ДФ, що пов”язані з діяльністю людини. Опис дій людини (помилкових чи злочинних) є змістом моделі порушника. Цей тип ДФ принципово відрізняється від усіх інших. Якщо всі інші ДФ в основному реалізуються випадково, то злочинні дії реалізуються за участю людини. Останні відрізняються як своїми характеристиками і можливостями реалізації, так і труднощами їх формалізації. Варто також враховувати можливість імітації порушником випадкових ДФ. Тепер залишається для кожної конкретної задачі побудови СЗІ формувати повні множини ДФ по кожному типу і кожному джерелу. Звернемо увагу на те, що повнота кожного з множини ДФ має абсолютний характер: хоч би один невстановлений ДФ може виявитися катастрофічним для всієї інформації в АС. Отже, процес побудови кожної множини ДФ повинен бути винятково ретельним і детальним. Для подальшої класифікації ДФ в окремих множинах (клітинках табл.___) необхідно використовувати додаткові їх особливості і характеристики. Наприклад, ДФ можуть бути активними і пасивними. Розглянемо тепер модель порушника. Згідно з (17, 18-А( порушник (user violator) – користувач, який здійснює НСД до інформації. Оскільки під порушником розуміється людина, то цілком зрозуміло, що створення його формалізованої моделі – надзвичайно складне завдання. Тому, звичайно, мова може йти про формальну або описову модель порушника. Нижче подається опис можливого для даного класу ІСБ порушника. Порушник – це особа, яка може отримати доступ до роботи з включеними до складу АС засобами. Вона може помилково, внаслідок необізнаності, цілеспрямовано, свідомо чи несвідомо, використовуючи різні можливості, методи та засоби, здійснити спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки. Зрозуміло, що в кожному конкретному випадку для кожного об”єкта визначаються імовірні загрози і моделі потенційних порушників – “провідників” цих загроз, включаючи можливі сценарії їх здійснення. Цей етап дуже складний, оскільки від служби безпеки вимагається для кожного об”єкта вибрати з кількох можливих типів порушників один, на який і буде орієнтована ІСБ, що проектується. Відповідно до нормативного документа (17-А( модель порушника – це абстрактний формалізований або неформалізований опис порушника. Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо. При розробці моделі порушника визначаються: припущення щодо категорії осіб, до яких може належати порушник; припущення щодо мотивів дій порушника (цілей, які він має); припущення щодо рівня кваліфікації та обізнаності порушника і його технічної оснащеності (щодо методів та засобів, які використовуються при здійснення порушень); обмеження та припущення щодо характеру можливих дій порушників (за часом та місцем дії та інші). Припускається, що за своїм рівнем порушник – це фахівець вищої кваліфікації, який має повну інформацію про систему. Зазвичай розглядають 5 типів порушників. Спочатку їх поділяють на дві групи: зовнішні і внутрішні порушники. Серед зовнішніх порушників виділяють такі: добре озброєнай оснащена силова група, що діє іззовні швидко і напролом; поодинокий порушник, що не має допуску на об”єкт і намагається діяти потайки та обережно, оскільки він усвідомлює, що сили реагування мають перед ним переваги. Серед потенційних внутрішніх порушників можна відзначити: допоміжний персонал об”єкта, що допущений на об”єкт, але не допущений до життєво важливого центру (ЖВЦ) АС; основний персонал, що допущений до ЖВЦ (найбільш небезпечний тип порушників); співробітників служби безпеки, які часто формально і не допущені до ЖВЦ, але реально мають достатньо широкі можливості для збору необхідної інформації і вчинені акції. Має також розглядатися можливість змови між порушниками різних типів, що ще більше ускладнює задачу формалізації моделей порушника. Слід зауважити, що такий поділ є дуже загальним, а також не всі групи мають важливе значення для всіх АС. Серед внутрішніх порушників можна виділити такі категорії персоналу: користувачі (оператори) системи; персонал, що обслуговує технічні засоби (інженери, техніки); співробітники відділів розробки та супроводження ПЗ (прикладні та системні програмісти); технічний персонал, що обслуговує будівлю (прибиральниці, електрики, сантехніки та інші співробітники, що мають доступ до будівлі та приміщення, де розташовані компоненти АС); співробітники СБ; керівники різних рівнів та посадової ієрархії. Сторонні особи, що можуть бути порушниками: клієнти (представники організацій, громадяни); відвідувачі (запрошені з будь-якого приводу); представники організацій, що займаються забезпеченням життєдіяльності організації (енерго-, водо-, теплопостачання і т. ін.); представники конкуруючих організацій (іноземних служб) або особи, що діють за їхнім завданням; особи, які випадково або навмисно порушили пропускний режим (не маючи на меті порушити безпеку); будь-які особи за межами контрольованої зони. Можна виділити також три основні мотиви порушень: безвідповідальність, самоствердження та з корисною метою. При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або випадково здійснює руйнівні дії, які не пов”язані, проте, зі злим умислом. У більшості випадків – це наслідок некомпетентності або недбалості. Деякі користувачі вважають отримання доступу до системи наборів даних значним успіхом, затіваючи свого роду гру “користувач – проти системи” заради самоствердження або у власних очах, аьбо в очах колег. Порушення безпеки АС може бути викликане корисливим інтересом користувача системи. У цьому випадку він буде цілеспрямовано намагатися перебороти систему захисту для доступу до інформації в АС. Навіть якщо АС має засоби, що роблять таке проникнення надзвичайно складним, цілком захистити її від проникнення практично неможливо. Всіх порушників можна класифікувати за рівнем знань про АС: знає функціональні особливості АС, основні закономірності формування в ній масивів даних і потоків запитів до них, уміє користуватися штатними засобами; має високий рівень знань і досвід роботи з технічними засобами системи та їх обслуговуванням; має високий рівень знань у галузі програмування та обчислювальної техніки, проектування та експлуатації автоматизованих анформаційних систем; знає структуру, функції і механізм дії засобів захисту, їх сильні та слабі сторони. За рівнем можливостей (методами та засобами, що використовуються): застосовує суто агентурні методи отримання відомостей; застосовує пасивні засоби (технічні засоби перехоплення без модифікації компонент системи); використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути таємно пронесені через пости охорони; застосовує методи та засоби активного впливу, підключення до каналів передавання даних, впровадження програмних закладок та використання спеціальних інструментальних та технологічних програм). За часом дії: в процесі функціонквання (під час роботи компонент системи); в період неактивності системи (в неробочий час, під час планових перерв у роботі, перерв для ремонтів тощо); як в процесі функціонування, так і в період неактивності компонент системи. За місцем дії: без доступу на контрольовану територію організації; з контрольованої території без доступу до будівель та споруд; всередині приміщень, але без доступу до технічних засобів; з робочих місць кінцевих користувачів (операторів); з доступом в зону даних (без даних, архівів і т.п.); з доступом в зону управління засобами забезпечення безпеки. Враховуються також наступні обмеження та припущення про характер дій можливих порушників: робота з підбору кадрів та спеціальні заходи ускладнюють можливість створення каоліції порушників, тобто об”єднання (змови) і цілеспрямованих дій з подолання системи захисту двох і більше порушників; порушник, плануючи спробу НСД, приховує свої дії від інших співробітників; НСД може бути наслідком помилок користувачів, системних адміністраторів, а також помилок прийнятої технології обробки інформації і т.д. Визначення конкретних характеристик можливих порушників є значною мірою суб”єктивним. Модель порушника, що побудована з врахуванням особливостей конкретної предметної галузі і технології обробки інформації, може бути подана перелічуванням кількох варіантів його образу. Кожний вид порушника має бути охарактеризований згідно з класифікаціями, наведеними вище. Всі значення характеристик мають бути оцінені (наприклад, за 5-бальною системою) і зведені до відповідних форм. Однак при формуванні моделі порушника на її вході обов”язково повинні бути визначені: імовірність реалізації загрози, своєчасність виявлення і відомості про порушення. Звернемо увагу на те, що всі злочини, зокрема і комп”ютерні, здійснюються людиною. Користувачі АС є її складовою, необхідним елементом. З іншого ж боку, вони є основною причиною і рушійною силою порушень і злочинів. Отже, питання безпеки захищених АС фактично є питанням людських відносин та людської поведінки.
