Rossiya federatsiyasi ta'lim va fan vazirligi


Download 121.6 Kb.
bet3/4
Sana16.04.2023
Hajmi121.6 Kb.
#1358338
TuriПрактикум
1   2   3   4
Bog'liq
Metod UPPD

Задание


O'qituvchi tomonidan taqdim etilgan dastlabki ma'lumotlarga asoslanib, ISPDni tahlil qiling va amaliy ish bo'yicha hisobot tayyorlang:
1. ISPDlar ro'yxati va ularning asosiy xususiyatlari.
2. ISPDda qayta ishlangan va himoya qilinishi kerak bo'lgan shaxsiy ma'lumotlar ro'yxati (har bir ISPD uchun).
3. Shaxsiy ma'lumotlarni qayta ishlash bilan shug'ullanadigan xodimlarning lavozimlari ro'yxati.
4. ISPD ning qisqa tutashuv chegaralariga nisbatan sxemasi - qavat rejasida (binoning), ISPD ning barcha texnik vositalarining joylashishini va qisqa tutashuv chegaralarini belgilang.
5. Mahalliy tarmoqning diagrammasi (mavjud bo'lsa), ISDN tarkibiga kiruvchi so'nggi tarmoq qurilmalari, kommutatorlar (hublar), marshrutizatorlar, xavfsizlik devori va boshqalar o'rtasidagi ulanishlarni ko'rsatadi.
6. ISPDda axborot oqimlarining sxemasi.
7. Shaxsiy ma'lumotlarni qayta ishlash jarayonida foydalaniladigan dasturiy vositalar ro'yxati.
8. Avtomatlashtirish vositalaridan foydalanmasdan qayta ishlangan shaxsiy ma'lumotlar tashuvchilarni saqlash joylari to'g'risidagi ma'lumotlar.
9. ISPD ning xavfsizlik darajasini aniqlash natijasi.
Amaliy ish № 2
Shaxsiy ma'lumotlar xavfsizligiga tahdid modelini yaratish



      1. ISPDda ularni qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligiga tahdidlar modelini ishlab chiqish har bir ISPD uchun alohida so'rov bosqichida olingan ma'lumotlar asosida amalga oshiriladi. Tahdid modeli Rossiya FSTEC uslubiy hujjatlariga muvofiq tayyorlangan va ma'lum bir operator uchun ularning dolzarbligini baholash bilan shaxsiy ma'lumotlar xavfsizligiga tahdidlar ro'yxatini (UBPD) o'z ichiga oladi.

      2. Tahdidni modellashtirish ekspert usuli bilan amalga oshiriladi. Bu shuni anglatadiki, axborot xavfsizligi sohasida tegishli ma'lumotga ega bo'lgan shaxs tahdid modelini ishlab chiqishi kerak. Tahdidlarni noto'g'ri modellashtirish muqarrar ravishda axborot xavfsizligi intsidentlari xavfining oshishiga, shaxsiy ma'lumotlar sub'ektlarining huquqlarini buzish uchun zarur shart-sharoitlarni yaratishga, operatorning obro'siga va moddiy yo'qotishlariga olib keladi.

      3. Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligiga haqiqiy tahdidlarni aniqlash metodologiyasi Rossiya FSTEC tomonidan axborotni himoya qilish bo'yicha Rossiya FSTECning amaldagi me'yoriy hujjatlarini hisobga olgan holda ishlab chiqilgan.

      4. "Shaxsiy ma'lumotlar to'g'risida" Federal qonunining 19-moddasiga muvofiq, shaxsiy ma'lumotlar ularga ruxsatsiz yoki tasodifiy kirishdan, shaxsiy ma'lumotlarni yo'q qilish, o'zgartirish, bloklash, nusxalash, tarqatish, shuningdek, boshqa noqonuniy harakatlardan himoyalangan bo'lishi kerak. UBPD ularni ISPDda qayta ishlash jarayonida ISPD xodimlarining va (yoki) ISPD tomonidan taqdim etilgan xizmatlardan o'z maqsadiga muvofiq foydalanadigan iste'molchilarning qasddan bo'lmagan harakatlari bilan ham, xorijiy davlatlarning maxsus amalga oshirilgan noqonuniy xatti-harakatlari, jinoiy javobgarlik bilan bog'liq bo'lishi mumkin.


      6. jamoalar, alohida tashkilotlar va fuqarolar, shuningdek, boshqa tahdid manbalari.

      7. UBPD shaxsiy ma'lumotlarning texnik kanallar (ISPD texnik vositalarida qayta ishlangan ma'lumotlarning sizib chiqishi uchun texnik kanallar, aloqa kanallari orqali uzatish paytida ma'lumotni ushlab turish uchun texnik kanallar, akustik (ovoz) ma'lumotlarining sizib chiqishi uchun texnik kanallar) orqali amalga oshirilishi mumkin. ) yoki tegishli dasturiy ta'minotdan ruxsatsiz foydalanish orqali.

      8. Shaxsiy ma'lumotlarning texnik kanallar orqali sizib chiqishi bilan bog'liq tahdidlarning batafsil tavsifi "Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligiga tahdidlarning asosiy modeli" da keltirilgan. Shaxsiy ma'lumotlarning tarqalishi uchun texnik kanallarni aniqlash Rossiya FSTEC normativ-uslubiy hujjatlari asosida amalga oshiriladi.

      9. Standart yoki maxsus ishlab chiqilgan dasturiy ta'minotdan foydalangan holda ma'lumotlar bazalariga ruxsatsiz kirish orqali amalga oshiriladigan tahdidlarning manbalari harakatlari ISPD bilan tartibga solinadigan ma'lumotlarga kirishni cheklash qoidalarini buzadigan sub'ektlardir.

      10. ISPD uchun, umuman olganda, quyidagi tahdidlarni ajratish mumkin:

      11. 1. Texnik kanallar orqali sizib chiqish tahdidlari. 1.1 Akustik ma'lumotlarning chiqib ketish tahdidlari. 1.2 Turlar haqidagi ma'lumotlarning tarqalishi tahdidlari.

      12. 1.3.PEMIN kanallari orqali axborotning chiqib ketish tahdidlari.

      13. 2. Axborotga ruxsatsiz kirish tahdidlari.

      14. 2.1. ISPD elementlariga jismoniy kirish orqali axborot tashuvchilarning ISPD apparatini yo'q qilish, o'g'irlash tahdidlari.

      15. 2.1.1. kompyuterni o'g'irlash;

1.1.16. Saqlash vositalarini o'g'irlash;
1.1.17. Kalitlarni va kirish atributlarini o'g'irlash;
1.1.18. Axborotni o'g'irlash, o'zgartirish, yo'q qilish;
1.1.19. Kompyuter tugunlarini, aloqa kanallarini o'chirish;
1.1.20. Himoya vositalarini ruxsatsiz o'chirish. 2.2 O'g'irlik, ruxsatsiz o'zgartirish yoki tahdidlar
dasturiy ta'minot, apparat va dasturiy ta'minot (shu jumladan dasturiy ta'minot va matematik ta'sirlar) yordamida ruxsatsiz kirish (UAS) tufayli ma'lumotlarni bloklash.
2.2.1. Zararli dasturlarning (viruslarning) harakatlari;
2.2.2. Shaxsiy ma'lumotlarni qayta ishlash uchun tizim dasturiy ta'minoti (dasturiy ta'minot) va dasturiy ta'minotning e'lon qilinmagan imkoniyatlari;
2.2.3. Ish bilan bog'liq bo'lmagan dasturiy ta'minotni o'rnatish.
2.3. Dasturiy ta'minotdagi nosozliklar, shuningdek antropogen bo'lmagan tahdidlar (ishonchsiz elementlar, elektr ta'minotidagi uzilishlar) va tabiiy (chaqmoq urishi) tufayli foydalanuvchilarning qasddan bo'lmagan harakatlari va uning tarkibidagi ISPD va SZPDn ishlashining xavfsizligini buzish tahdidlari. , yong'inlar, suv toshqini va boshqalar) .p.) xarakter.
2.3.1. Kalitlarni va kirish atributlarini yo'qotish;
2.3.2. Xodimlar tomonidan ma'lumotni qasddan o'zgartirish (yo'q qilish);
2.3.3. Himoyalarni qasddan o'chirib qo'yish;
2.3.4. Uskuna va dasturiy ta'minotning ishdan chiqishi;
2.3.5. Elektr ta'minoti tizimining ishdan chiqishi;
2.3.6. Falokat.
2.4. Insayderlarning qasddan harakatlari tahdidi.
2.4.1. Axborotga kirish, uni qayta ishlashga ruxsat berilmagan shaxslar tomonidan o'zgartirish, yo'q qilish;
2.4.2. Ma'lumotni oshkor qilish, uni qayta ishlashga vakolatli xodimlar tomonidan o'zgartirish, yo'q qilish.
2.5. Aloqa kanallari orqali ruxsatsiz kirish tahdidlari.
2.5.1. ISPD dan uzatiladigan va tashqi tarmoqlardan olingan ma'lumotlarni ushlash bilan "Tarmoq trafigini tahlil qilish" tahdidi:
2.5.1.1. Nazorat qilinadigan zonadan tashqarida ushlab turish;
2.5.1.2. Nazorat qilinadigan zonada tashqi tajovuzkorlar tomonidan ushlab turish;
2.5.1.3. Insayderlar tomonidan nazorat qilinadigan zonada tutib olish.
2.5.2. Amaldagi operatsion tizimlarning turi yoki turlarini, ISPD ish stantsiyalarining tarmoq manzillarini, tarmoq topologiyasini, ochiq portlar va xizmatlarni, ochiq ulanishlarni va boshqalarni aniqlashga qaratilgan tahdidlarni skanerlash.
2.5.3. Tarmoq orqali parollarni ochish tahdidlari.
2.5.4. Tarmoqqa noto'g'ri marshrut qo'yadigan tahdidlar.
2.5.5. Tarmoqdagi ishonchli ob'ektni almashtirish tahdidlari.
2.5.6. ISPDda ham, tashqi tarmoqlarda ham soxta ob'ektni kiritish tahdidlari.
2.5.7. Xizmat tahdidlarini rad etish.
2.5.8. Ilovalarni masofadan ishga tushirish uchun tahdidlar.
2.5.9. Tarmoq orqali zararli dasturlarni kiritish tahdidlari.
ISPDda amalga oshirilishi mumkin bo'lgan va shaxsiy ma'lumotlar uchun xavf tug'diradigan tahdid tegishli deb hisoblanadi. Joriy tahdidlar ro'yxatini tuzishga yondashuv quyidagicha.
Tahdidni amalga oshirish imkoniyatini baholash uchun ikkita ko'rsatkich qo'llaniladi: ISPD ning dastlabki xavfsizlik darajasi va ko'rib chiqilayotgan tahdidni amalga oshirish chastotasi (ehtimoli).
ISPD ning dastlabki xavfsizlik darajasi deganda 2.1-jadvalda keltirilgan ISPD ning texnik va ekspluatatsion xususiyatlariga bog'liq bo'lgan umumlashtirilgan ko'rsatkich tushuniladi.

2.1-jadval. ISPD ning dastlabki xavfsizligi ko'rsatkichlari



Технические и эксплуатационные
характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

1. По территориальному размещению

распределенная ИСПДн, которая охватывает несколько областей, краев, округов или
государство в целом







+

городская ИСПДн, охватывающая не более
одного населенного пункта (города, поселка)







+

корпоративная распределенная ИСПДн, охватывающая многие подразделения одной
организации




+




локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных
зданий




+




локальная ИСПДн, развернутая в пределах
одного здания

+







2. По наличию соединения с сетями общего пользования

ИСПДн, имеющая многоточечный выход в
сеть общего пользования







+

ИСПДн, имеющая одноточечный выход в сеть
общего пользования




+




ИСПДн, физически отделенная от сети общего
пользования

+







3. По встроенным (легальным) операциям с записями баз персональных данных

чтение, поиск

+







запись, удаление, сортировка




+




модификация, передача







+

4. По разграничению доступа к персональным данным

ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн,
либо субъект ПДн




+




ИСПДн, к которой имеют доступ все
сотрудники организации, являющейся владельцем ИСПДн







+

ИСПДн с открытым доступом







+

5. По наличию соединений с другими базами ПДн иных ИСПДн

интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при
этом организация не является владельцем всех используемых баз ПДн)







+

ИСПДн, в которой используется

+







Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

одна база ПДн, принадлежащая организации –
владельцу данной ИСПДн










6. По уровню обобщения (обезличивания) ПДн

ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации,
отрасли, области, региона и т.д.)

+







ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю
в организации




+




ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать
субъекта ПДн)







+

7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без
предварительной обработки

ИСПДн, предоставляющая всю базу данных
с ПДн







+

ИСПДн, предоставляющая часть ПДн




+




ИСПДн, не предоставляющая никакой
информации

+







Xavfsizlikning dastlabki darajasi quyidagicha aniqlanadi.


1. ISPD yuqori darajadagi dastlabki xavfsizlikka ega, agar ISPD xususiyatlarining kamida 70% “yuqori” darajaga toʻgʻri kelsa (ijobiy qarorlar yuqori darajadagi xavfsizlik darajasiga mos keladigan birinchi ustunda umumlashtiriladi), qolganlari esa - xavfsizlikning o'rtacha darajasiga (ikkinchi ustunda ijobiy qarorlar).
2. ISPD, agar 1-bandda ko'rsatilgan shartlar bajarilmasa va ISPD xususiyatlarining kamida 70% "o'rtacha" dan past bo'lmagan darajaga to'g'ri keladigan bo'lsa, dastlabki xavfsizlikning o'rtacha darajasiga ega (ishlab chiqarish bo'yicha qabul qilingan ijobiy qarorlar yig'indisining nisbati). ikkinchi ustun, xavfsizlikning o'rtacha darajasiga, qarorlarning umumiy soniga mos keladi) , qolganlari esa - past darajadagi xavfsizlik.
3. ISPD 1 va 2-bandlardagi shartlar bajarilmasa, dastlabki xavfsizlikning past darajasiga ega.
Shaxsiy ma'lumotlarga nisbatan haqiqiy xavfsizlik tahdidlari ro'yxatini tuzishda har bir boshlang'ich xavfsizlik darajasiga Y1 raqamli koeffitsienti beriladi, xususan:
0 - dastlabki xavfsizlikning yuqori darajasi uchun; 5 - dastlabki himoyaning o'rtacha darajasi uchun; 10 - dastlabki xavfsizlikning past darajasi uchun.
Tahdidni ro'yobga chiqarish chastotasi (ehtimolligi) ekspert tomonidan aniqlangan ko'rsatkich sifatida tushuniladi, bu hozirgi vaziyatda ma'lum bir ISPD uchun PD xavfsizligiga ma'lum bir tahdidni amalga oshirish ehtimolini tavsiflaydi. Ushbu ko'rsatkichning to'rtta og'zaki gradatsiyasi kiritilgan:
ehtimoldan yiroq - tahdidni amalga oshirish uchun ob'ektiv shartlar mavjud emas (masalan, axborot vositalari saqlanadigan binolarga qonuniy kirish huquqiga ega bo'lmagan shaxslar tomonidan axborot vositalarini o'g'irlash tahdidi);
past ehtimollik - tahdidni amalga oshirish uchun ob'ektiv shartlar mavjud, ammo ko'rilgan choralar uni amalga oshirishni sezilarli darajada murakkablashtiradi (masalan, tegishli axborotni himoya qilish vositalaridan foydalaniladi);
o'rtacha ehtimollik - tahdidni amalga oshirish uchun ob'ektiv shartlar mavjud, ammo shaxsiy ma'lumotlar xavfsizligini ta'minlash bo'yicha ko'rilayotgan choralar etarli emas;
yuqori ehtimollik - tahdidni amalga oshirish uchun ob'ektiv shartlar mavjud va PD xavfsizligini ta'minlash choralari ko'rilmagan.
Shaxsiy ma'lumotlar xavfsizligiga haqiqiy tahdidlar ro'yxatini tuzishda tahdidning yuzaga kelish ehtimolining har bir darajasiga Y2 raqamli koeffitsienti beriladi, xususan:
0 - kutilmagan tahdid uchun;
2 – past xavf ehtimoli uchun; 5 - tahdidning o'rtacha ehtimoli uchun;
10 - tahdidning yuqori ehtimoli uchun.
Yuqoridagilarni hisobga olgan holda, tahdidning texnik-iqtisodiy koeffitsienti Y nisbati bilan aniqlanadi
Y = (Y1 + Y2) / 20
Tahdidni amalga oshirish koeffitsienti Y qiymatiga ko'ra, tahdidning amalga oshirilishining og'zaki talqini quyidagicha shakllantiriladi:
agar 0 ≤ Y ≤ 0,3 bo'lsa, u holda tahdidni amalga oshirish imkoniyati tan olinadi.
past;
agar 0,3 < Y ≤ 0,6 bo'lsa, u holda tahdidni amalga oshirish imkoniyati tan olinadi.
o'rta;
agar 0,6 < Y ≤ 0,8 bo'lsa, u holda tahdidni amalga oshirish imkoniyati tan olinadi.
yuqori;
agar Y > 0,8 bo'lsa, u holda tahdidni amalga oshirish imkoniyati juda yuqori deb e'tirof etiladi.
Keyinchalik, har bir tahdidning jiddiyligi baholanadi. Mutaxassislar (axborot xavfsizligi sohasidagi mutaxassislar) so'rovi asosida xavfni baholashda ko'rib chiqilayotgan ISPD uchun xavfning og'zaki ko'rsatkichi aniqlanadi. Ushbu ko'rsatkich uchta ma'noga ega:
past xavf - agar tahdidni amalga oshirish shaxsiy ma'lumotlar sub'ektlari uchun kichik salbiy oqibatlarga olib kelishi mumkin bo'lsa;
o'rtacha xavflilik - agar tahdidni amalga oshirish shaxsiy ma'lumotlar sub'ektlari uchun salbiy oqibatlarga olib kelishi mumkin bo'lsa;
yuqori xavf - agar tahdidni amalga oshirish shaxsiy ma'lumotlar sub'ektlari uchun sezilarli salbiy oqibatlarga olib kelishi mumkin bo'lsa.
Keyinchalik, xavfsizlik tahdidlarining umumiy (dastlabki) ro'yxatidan ushbu ISPDga tegishli bo'lganlar 2.2-jadvalda keltirilgan qoidalarga muvofiq tanlanadi.

2.2-jadval. Shaxsiy ma'lumotlar xavfsizligiga tahdidni tegishli deb tasniflash qoidalari



Возможность
реализации угрозы

Показатель опасности угрозы

Низкая

Средняя

Высокая

Низкая

неактуальная

неактуальная

актуальная

Средняя

неактуальная

актуальная

актуальная

Высокая

актуальная

актуальная

актуальная

Очень высокая

актуальная

актуальная

актуальная

ISPD xavfsizligi darajasi to'g'risidagi ma'lumotlardan va joriy tahdidlar ro'yxatidan foydalangan holda, ISPD ni texnik kanallar orqali ma'lumotlarning sizib chiqishidan, ruxsatsiz kirishdan himoya qilish uchun maxsus tashkiliy va texnik talablar ishlab chiqilgan va ulardan foydalanish mumkin bo'lgan dasturiy va apparat ma'lumotlarini himoya qilish vositalari tanlanadi. yaratishda va keyingi operatsiya amalga oshiriladi.ISPDn.


Mashq qilish


O'qituvchi tomonidan taqdim etilgan dastlabki ma'lumotlarga va haqiqiy UBPDni aniqlashning tavsiflangan metodologiyasiga asoslanib, UBPD modelini tuzing.
Amaliy ish bo'yicha hisobotda UBPD modelini qurish jarayonining tavsifi, tegishli UBPD ro'yxati va ularning tavsifi (tadbiq etish oqibatlari) bo'lishi kerak. Tahdid modelini tuzish uchun qo'shimcha manba sifatida Rossiya FSTECning "Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligi tahdidlarining asosiy modeli" uslubiy hujjatidan foydalanish tavsiya etiladi.

Amaliy ish № 3 Ehtimoliy bosqinchi modelini qurish


Kriptografik vositalardan foydalanmasdan shaxsiy ma'lumotlarning xavfsizligini ta'minlashda tahdid modelini shakllantirishda Rossiya FSTEC uslubiy hujjatlari qo'llaniladi.
Agar operator kriptografik vositalardan foydalangan holda shaxsiy ma'lumotlar xavfsizligini ta'minlash zarurligini aniqlasa, tahdid modelini shakllantirishda Rossiya FSTEC uslubiy hujjatlari va "Shaxsiy ma'lumotlar ma'lumotlarida ularni qayta ishlashda kriptografik vositalardan foydalangan holda shaxsiy ma'lumotlarning xavfsizligini ta'minlash bo'yicha ko'rsatmalar" avtomatlashtirish vositalaridan foydalanadigan tizimlar" 2008 yil 21 fevraldagi 149 / 54-144-sonli Rossiya FSB 8-sonli boshqaruv buyrug'i bilan tasdiqlangan qo'llaniladi.
Shu bilan birga, Rossiya FSTEC hujjatlarida va uslubiy tavsiyalarda mavjud bo'lgan bir xil turdagi ikkita tahdiddan eng xavflisi tanlanadi.
Yuqori darajadagi tahdid modeli va batafsil tahdid modeli o'rtasida farq bor.
Yuqori darajadagi tahdid modeli himoyalangan shaxsiy ma'lumotlar va boshqa himoyalangan ob'ektlarning xavfsizlik xususiyatlarini aniqlash uchun mo'ljallangan. Ushbu model, shuningdek, batafsil tahdid modeli uchun kirishni belgilaydi.
Batafsil tahdid modeli kriptografik himoyaning zarur darajasini aniqlash uchun mo'ljallangan.
Buzg'unchi modeli tahdid modeli bilan chambarchas bog'liq va aslida uning bir qismidir. Ular orasidagi semantik munosabat quyidagicha. Tahdid modeli ob'ekt xavfsizligi tahdidlarining eng to'liq tavsifini o'z ichiga oladi. Raqib modeli raqibning imkoniyatlari haqidagi taxminning tavsifini o'z ichiga oladi, u hujumlarni ishlab chiqish va o'tkazish uchun foydalanishi mumkin, shuningdek, ushbu imkoniyatlarga cheklovlar.
Rossiya FSBning uslubiy tavsiyalarini hisobga olgan holda, buzg'unchi modeli quyidagi tuzilishga ega bo'lishi kerak:
– huquqbuzarlarning tavsifi (hujum subyektlari);
- hujum ob'ektlari to'g'risida qoidabuzar uchun mavjud bo'lgan ma'lumotlar haqidagi taxminlar;
- huquqbuzar uchun mavjud bo'lgan hujum vositalari haqidagi taxminlar;
- hujum kanallarining tavsifi.
1. Qoidabuzarlarning tavsifi (hujumlar sub'ektlari).
Qoidabuzarlarning oltita asosiy turi mavjud: H1, H2, ..., H6.
Taxminlarga ko'ra, H5 va H6 turlarini buzuvchilar kriptografik vositalarni ishlab chiqish va tahlil qilishga ixtisoslashgan tadqiqot markazlarida hujum usullari va vositalarini yaratish bo'yicha ishlarni yo'lga qo'yishlari mumkin.
Hi+1 tipidagi buzg‘unchining imkoniyatlari Hi tipidagi buzg‘unchining imkoniyatlarini o‘z ichiga oladi (1 ≤ i ≤ 5).
Agar tashqi tajovuzkor Hi tipidagi buzg'unchining mos keladigan imkoniyatlariga o'xshash hujumlarni tayyorlash usullarini yaratish qobiliyatiga ega bo'lsa (hujum paytida boshqariladigan zonada bo'lish imkoniyati bundan mustasno), u holda bu bosqinchi shuningdek, Hi turidagi buzg'unchi sifatida belgilanadi (2 ≤ i ≤ 6).
Buzg'unchi modelining ushbu bo'limi quyidagi odatiy tarkibga ega.
Birinchidan, axborot tizimining apparat va dasturiy ta'minotiga ega bo'lgan barcha shaxslar quyidagi toifalarga bo'linadi:
- I toifa - axborot tizimining nazorat qilinadigan hududiga kirish huquqiga ega bo'lmagan shaxslar;
II toifa - axborot tizimining nazorat qilinadigan hududiga doimiy yoki bir martalik kirish huquqiga ega bo'lgan shaxslar.
Bundan tashqari, barcha potentsial qoidabuzarlar quyidagilarga bo'linadi:
– axborot tizimining boshqariladigan zonasidan tashqaridan hujumlarni amalga oshiruvchi tashqi qoidabuzarlar;
- axborot tizimining nazorat qilinadigan zonasida bo'lgan holda hujumlarni amalga oshiruvchi ichki qoidabuzarlar.
Ta'kidlanishicha:
– tashqi qoidabuzarlar ham I toifa, ham II toifadagi shaxslar bo‘lishi mumkin;
- Faqat II toifadagi shaxslar insayder bo'lishi mumkin.
Axborot tizimining imtiyozli foydalanuvchilari (ma'murlar guruhi a'zolari), ular maxsus ishonchli shaxslar orasidan tayinlanadi va kriptografik vositaning apparat va dasturiy ta'minotiga texnik xizmat ko'rsatadi, shu jumladan ularning konfiguratsiyasi, konfiguratsiyasi va kalitini taqsimlaydi. imtiyozli bo'lmagan foydalanuvchilar orasida hujjatlar.
Quyida II toifadagi shaxslarning ayrim turlarini potentsial huquqbuzarlardan chiqarib tashlashning mantiqiy asoslari keltirilgan. Qoidaga ko‘ra, axborot tizimining imtiyozli foydalanuvchilari potentsial qoidabuzarlar qatoridan chiqariladi.
Va nihoyat, huquqbuzarlarning mumkin bo'lgan til biriktirishi masalasi ko'rib chiqilmoqda.
1. Hujumlar ob'ektlari haqida qoidabuzarga mavjud bo'lgan ma'lumotlar haqidagi taxminlar
Huquqbuzar modelining ushbu bo'limi quyidagilarni o'z ichiga olishi kerak:
- potentsial qoidabuzarlar hujumlarni tayyorlash va amalga oshirish uchun zarur bo'lgan barcha ma'lumotlarga ega degan taxmin, qoidabuzarning axborot xavfsizligi tizimi tomonidan kirishidan chetlashtirilgan ma'lumotlar bundan mustasno. Bunday ma'lumotlarga, masalan, parol, autentifikatsiya va asosiy ma'lumotlar kiradi.
- qoidabuzarning xabardorlik darajasiga asosli cheklovlar (ularga nisbatan taxmin qilinadigan ma'lumotlar ro'yxati).
ular hujumchi uchun mavjud emas). Huquqbuzarning xabardorlik darajasi bo'yicha oqilona cheklovlar kriptografik vositalarga qo'yiladigan talablarni sezilarli darajada kamaytirishi mumkin.
Huquqbuzarning xabardorlik darajasiga cheklovlarni belgilashda, xususan, quyidagi ma'lumotlarni hisobga olish kerak:
– texnik va dasturiy komponentlar uchun texnik hujjatlar mazmuni;
– kripto-vositalarning uzoq muddatli kalitlari;
- tashkiliy-texnik choralar (fazalarni boshlash, sinxronlash xabarlari, shifrlanmagan manzillar, boshqaruv buyruqlari va boshqalar) bilan ma'lumotlarga ruxsatsiz kirishdan (UAS) himoyalanmagan aloqa kanallari orqali aniq shaklda uzatiladigan barcha mumkin bo'lgan ma'lumotlar;
– himoyalangan axborot uzatiladigan aloqa liniyalari haqidagi ma’lumotlar;
- bitta kalitda ishlaydigan barcha aloqa tarmoqlari;
- tashkiliy-texnik chora-tadbirlar bilan UA dan axborotga himoyalanmagan aloqa kanallarida namoyon bo'ladigan kriptografik vositadan foydalanish qoidalarining barcha buzilishi;
- tashkiliy-texnik chora-tadbirlar bilan UA dan axborotgacha himoyalanmagan aloqa kanallarida namoyon bo'ladigan kripto-vositalarning texnik vositalarining barcha nosozliklari va nosozliklari;
- buzg'unchi tomonidan tutib olinishi mumkin bo'lgan kripto-vositalarning texnik vositalaridan har qanday signallarni tahlil qilish natijasida olingan ma'lumotlar.
Faqatgina H3 - H6 tipidagi tajovuzkorlar bitta kalitda ishlaydigan barcha aloqa tarmoqlaridan xabardor bo'lishlari mumkin.
Faqat H5 - H6 tipidagi qoidabuzarlar kriptografik vosita uchun bepul mavjud hujjatlar bilan bir qatorda amaliy dasturiy ta'minotning manba matnlariga ega.
Faqat H6 tipidagi qoidabuzarlar kriptografik vosita uchun barcha hujjatlarga ega.
1. Jinoyatchi uchun mavjud bo'lgan hujum vositalari haqidagi taxminlar
Huquqbuzar modelining ushbu bo'limi quyidagilarni o'z ichiga olishi kerak:
- huquqbuzarning o'zi uchun mavjud bo'lgan hujum kanallari orqali hujumlarni amalga oshirish uchun zarur bo'lgan barcha vositalarga ega ekanligi haqidagi taxmin, ularning imkoniyatlari davlat sirini tashkil etuvchi ma'lumotlarni o'z ichiga olgan ma'lumotlarga hujum qilishning o'xshash vositalarining imkoniyatlaridan oshmaydi;
- qoidabuzar uchun mavjud bo'lgan mablag'larga oqilona cheklovlar
hujumlar.
Qoidabuzar uchun mavjud bo'lgan mablag'larga cheklovlarni aniqlashda
Hujumlar, xususan, e'tiborga olinishi kerak:
– kriptografik vositaning apparat komponentlari;
– tijoratda mavjud bo‘lgan apparat va dasturiy ta’minot;
- maxsus ishlab chiqilgan apparat va dasturiy ta'minot;
- muntazam manbalar.
H1 va H2 turlarini buzuvchilar kriptografik vositaning faqat erkin mavjud apparat komponentlariga ega.
H3-H5 qoidabuzarlarining kriptografik vositaning apparat komponentlarini olish uchun qo'shimcha imkoniyatlari axborot tizimida amalga oshirilgan tashkiliy chora-tadbirlarga bog'liq.
H6 tipidagi tajovuzkorlar kriptografik vositaning har qanday apparat komponentlariga ega.
H1 tipidagi qoidabuzarlar faqat nazorat qilinadigan zonadan tashqarida joylashgan bo'lsa, oddiy vositalardan foydalanishlari mumkin.
H2-H6 qoidabuzarlarining muntazam vositalardan foydalanish imkoniyatlari axborot tizimida amalga oshirilgan tashkiliy chora-tadbirlarga bog'liq.
H4-H6 tipidagi qoidabuzarlar axborot tizimining boshqariladigan zonasidan tashqarida qo'llaniladigan kriptografik vositalarning laboratoriya tadqiqotlarini o'tkazishlari mumkin.
2. Hujum kanallarining tavsifi
Amaliy nuqtai nazardan, bu bo'lim tajovuzkor modelidagi eng muhimlaridan biridir. Uning mazmuni asosan yuqori darajadagi tahdid modelini shakllantirish sifati bilan belgilanadi.
Asosiy hujum kanallari:
- tashkiliy-texnik chora-tadbirlar bilan axborotga ruxsatsiz kirishdan himoyalanmagan aloqa kanallari (nazorat qilinadigan hudud ichida ham, tashqarisida ham);
- muntazam manbalar.
Mumkin bo'lgan hujum kanallari, xususan:
- hujum ob'ektiga to'g'ridan-to'g'ri kirish kanallari (akustik, vizual, jismoniy);
- mashina saqlash vositalari;
– foydalanishdan chiqqan axborot tashuvchilar;
– texnik oqish kanallari;
- maxfiy ravishda ma'lumot olish uchun elektron qurilmalar tufayli sizib chiqish kanali;
– SVT ning axborot va boshqaruv interfeyslari.
Buzg'unchining turini aniqlash
Buzg'unchi, agar uning imkoniyatlari to'g'risidagi taxminlar orasida Hi tipidagi buzg'unchilarga tegishli taxmin bo'lsa va faqat Hj (j > i) tipidagi buzg'unchilarga tegishli taxminlar mavjud bo'lmasa, Hi turiga kiradi.
Buzuvchi eng muhim shaxsiy ma'lumotlarni qayta ishlovchi axborot tizimlarida H6 turiga kiradi, ularning xavfsizlik xususiyatlarining buzilishi ayniqsa jiddiy oqibatlarga olib kelishi mumkin.
Operator tomonidan H6 turiga tajovuzkorni tayinlashda, buzg'unchi modelini Rossiya FSB bilan muvofiqlashtirish tavsiya etiladi.
Mashq qilish
O'qituvchi tomonidan taqdim etilgan dastlabki ma'lumotlar va tavsiflangan metodologiyaga asoslanib, potentsial bosqinchining modelini tuzing va uni amaliy ish hisobotida tavsiflang.
Amaliy ish № 4

Download 121.6 Kb.

Do'stlaringiz bilan baham:
1   2   3   4



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling