1.3 Построение модели нарушителя с учетом использования криптографических средств.

По признаку принадлежности к ИСПДн все нарушители делятся на две группы:

- внешние нарушители - физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;

- внутренние нарушители - физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.

Нарушители

Внешние

Внутренние

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Внешний нарушитель:

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушите­ля к осуществлению действий, направленных на утечку информации по техническим кана­лам.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Внутренний нарушитель:

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированного доступа. К внутренним нарушителям могут относиться:

администраторы ИСПДн (категория I);

администраторы конкретных подсистем или баз данных ИСПДн (категория II);

пользователи ИСПДн (категория Ш);

пользователи, являющиеся внешними по отношению к конкретной ИСПДн (категория IV);

лица, обладающие возможностью доступа к системе передачи данных (категория V);

сотрудники, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются элементы ИСПДн, но не имеющие права доступа к ним (категория VI);

обслуживающий персонал предприятия (охрана, работники инженерно-технических служб и т.д.) (категория VII);

уполномоченный персонал разработчиков ИСПДн, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов ИСПДн (категория VIII).

На лиц категорий I и II возложены задачи по администрированию программно-аппаратных средств и баз данных ИСПДн для интеграции и обеспечения взаимодействия различных подсистем, входящих в состав ИСПДн. Администраторы потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн, а также к техническим и программным средствам ИСПДн, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них административными полномочиями.

Эти лица хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности.

Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).

Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием.

К лицам категорий I, II и III применяется комплекс организационно-правовых мер при принятии на работу, назначению на должность и контролю выполнения функциональных обязанностей.

Предполагается, что в число лиц категорий I, II и III будут включаться доверенные лица, с которыми установлен особый организационно-правовой режим отношений, и поэтому указанные лица исключаются из числа вероятных нарушителей.

Предполагается, что лица категорий IV-VIII относятся к вероятным нарушителям.

Предполагается, что возможность сговора внутренних нарушителей маловероятна ввиду принятых организационных и контролирующих мер.

Организация и обеспечение безопасности обработки с использованием шифровальных (криптографических) средств персональных данных:

1.  Безопасность обработки персональных данных с использованием крипто средств организуют и обеспечивают операторы, а также лица, которым на основании договора оператор поручает обработку персональных данных и (или) лица, которым на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности обработки в информационной системе персональных данных с использованием крипто средств.

2. Операторы несут ответственность за соответствие проводимых ими мероприятий по организации и обеспечению безопасности обработки с использованием крипто средств персональных данных лицензионным требованиям и условиям, эксплуатационной и технической документации к крипто средствам, а также настоящим Требованиям.

3. При этом операторы должны обеспечивать комплексность защиты персональных данных, в том числе посредством применения не криптографических средств защиты.

4. Пользователи криптосредств допускаются к работе с ними по решению, утверждаемому оператором. При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.

5. Пользователи криптосредств обязаны: не разглашать информацию, к которой они допущены, в том числе сведения о криптосредствах, ключевых документах к ним и других мерах защиты; соблюдать требования к обеспечению безопасности персональных данных, требования к обеспечению безопасности криптосредств и ключевых документов к ним; сообщать о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним; немедленно уведомлять оператора о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.сдать криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным настоящими Требованиями, при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств;

Классификация нарушителей согласно ФСБ России

К первому типу относятся внешние нарушители.

Ко второму типу - обслуживающий персонал ИСПДн (охрана, работники инженерно-технических средств и т.д.)

К третьему типу – пользователи ИСПДн, осуществляющие передачу ПДн в рамках ИСПДн.

К четвертому типу – пользователи ИСПДн, осуществляющие непосредственный доступ к техническим средствам ИСПДн (системные администраторы, администраторы безопасности, технические специалисты по администрированию периферийного оборудования).

К пятому типу – программисты-разработчики (поставщики) программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн, не являющиеся пользователями ИСПДн, но имеющие право доступа (временного или постоянного) в контролируемую зону.

К шестому типу – спецслужбы и представители специальных органов (контролирующих, правоохранительных, надзорных и т.п.) имеющих возможность применять специальные средства и способы атак, а также специализирующиеся в области анализа СКЗИ и СФК.

По заданию курсового проекта:

Соответствие типов нарушителей табл. 5

Таблица №5

Классификация ФСБ России	Классификация ФСТЭК России	Должностные единицы
Третья (Н3)	Вторая (И2)	Сотрудники, осуществляющие передачу ПДн в рамках ИСПДн
Четвертая (Н4)	Пятая (И5)	Системные администраторы (настройка и управление ПО и оборудованием, в том числе и оборудование отвечающее за безопасность ИСПДн)
Четвертая (Н4)	Шестая (И6)	Администраторы информационной безопасности ИСПДн (отвечает за правила разграничение доступа, смену паролей и т.д.)
Пятая (Н5)	Седьмая (И7)	Разработчики прикладного ПО, и осуществляющие сопровождение ПО

2. Заключение.

Основное содержание данной курсовой работы – это расчет исходной защищенности, модели угроз и предполагаемых нарушителей:

Из расчетов данной курсовой работы видно, что степень защищённости низкая, следовательно, получили высокий коэффициент реализуемости, который равен 1. Модель угроз по расчетам – актуальная. Для снижения угрозы необходимо принять меры, для того чтобы снизить вероятность угрозы в данной организации.