Файл: Термины и определения 2 перечень сокращений и обозначений 3.docx

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 09.11.2023

Просмотров: 208

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.


Современная система контроля и управления доступом состоит из следующих ключевых компонентов:

  • устройства идентификации (идентификаторы и считыватели);

  • устройства контроля и управления доступом (контроллеры);

  • устройства центрального управления (компьютеры);

  • устройства исполнительного (замки, приводы дверей, шлагбаумов, турникетов и т.д.).

Планируемая к внедрению СКУД обладает всеми средствами централизованного управления, в качестве которых будут использоваться СВТ общего назначения (персональные или специализированные компьютеры). Основным компонентом средств управления сетевых СКУД является программное обеспечение (ПО).

Конструкторская документация на средства СКУД должна соответствовать требованиям ЕСКД. Эксплуатационные документы должны быть выполнены в соответствии с ГОСТ.

Параметры управляющего сигнала (напряжение, ток и длительность) должны быть указаны в нормативных документах на УПУ конкретного типа. Требования к УПУ, в состав которых входят встроенные средства специального контроля, устанавливают в нормативных документах на устройства, преграждающие управляемые конкретного типа.

Необходимо провести комплекс испытаний СКУД методами, приведенными в соответствующем ГОСТ []. Политика информационной безопасности в организации должна стать частью более общей документированной политики.

После утверждения проекта, до начала монтажных работ, необходимо решить ряд организационных моментов:

  • помещение для монтажников;

  • временный склад для оборудования. Обеспечение сохранности оборудования;

  • вопросы допуска монтажников на объект и контроля;

  • вопросы оперативного взаимодействия с бригадой монтажников и головной организацией;

  • координация взаимодействия монтажников и эксплуатирующего объект подразделения.

Параллельно с сопровождением работ по монтажу оборудования, целесообразно начать разработку внутренних регламентирующих документов. Даже если в компании уже действует Регламент контрольно-пропускного режима, обязательно необходимо внести в него изменения, касающиеся СКУД.

Разработка Регламента пропускного режима в компании - тема для отдельной статьи, здесь лишь приведу краткий перечень вопросов, которые должны быть отражены в Регламенте:


  • цели и задачи;

  • точки доступа;

  • порядок назначения уровней доступа;

  • порядок выдачи пропусков;

  • порядок выдачи гостевых пропусков;

  • порядок изъятия пропусков;

  • действия при утере пропуска;

  • нештатные ситуации;

  • формы заявок, внешний вид пропусков, формы отчетных документов.

После завершения монтажных работ подрядчик проводит пуско-наладку системы. На этом этапе необходимо плотно подключить к процессу сотрудников, которые будут непосредственно эксплуатировать систему. Сотрудники должны пройти теоретическое обучение, а также, участвуют в процессе пуско-наладки приобрести практические навыки.

На этом же этапе проводится ввод базы данных сотрудников в систему, назначение уровней доступа, привязка уровней доступа к конкретным сотрудникам, изготовление пропусков, выдача пропусков сотрудникам. Ввод системы в эксплуатацию может проходить поэтапно, чтобы не вносить резких изменений в бизнес-процессы компании.

В рамках работы будут проведены этапы определения целей и задач моделирования угроз, составления перечня информационных ресурсов, анализа угроз и возможного ущерба, выбора методов и средств защиты, а также документирования результатов работы.

Разработанная модель нарушителя позволит компании с минимальными затратами и рисками предотвратить возможные угрозы, сохранить конфиденциальность и целостность информации, а также обеспечить безопасность информационной системы в целом.

Нарушителем является субъект доступа, осуществляющий доступ к информации с нарушением правил разграничения доступа, а также лицо, осуществляющее перехват информации по техническим каналам утечки. Нарушитель рассматривается как один из источников угроз НСД в ИС и утечки информации по техническим каналам. Описание потенциальных нарушителей ИС необходимо для формирования перечня источников угроз и является неотъемлемой частью процесса составления полного перечня потенциально реализуемых угроз в рассматриваемой ИС.

В соответствии с рекомендациями, изложенными в Базовой модели ФСТЭК России, а также в Методических рекомендациях ФСБ России, к потенциальным нарушителям безопасности, могут быть отнесены следующие группы нарушителей:

  • разведывательные службы государств;

  • криминальные структуры;

  • конкуренты;

  • внешние субъекты (физические лица);

  • сотрудники организации;

  • сотрудники сторонних организаций, которым предоставляется доступ в контролируемую зону в соответствии с договорными обязательствами (например, программисты-разработчики или поставщики услуг и технических средств, обеспечивающие сопровождение систем) (сотрудники недобросовестных партнеров);

  • операторы связи, предоставляющие в аренду каналы связи.


Нарушители первых двух групп не имеют мотивации осуществления деятельности, связанной с нарушением характеристик безопасности информации на данном предприятии.

Таблица 5– Модель нарушителя

Нарушитель

Цель

Средства

1

2

3

1. Уволенные сотрудники

Месть, личная выгода

Доступные в свободной продаже технические средства и программное обеспечение

2. Профессиональные хакеры

Личная выгода, саботаж

Доступные в свободной продаже технические средства и программное обеспечение, специально разработанные технические средства и программное обеспечение

3. Конкуренты

Подрыв авторитета фирмы

Доступные в свободной продаже технические средства и программное обеспечение, специально разработанные технические средства и программное обеспечение

4. Субъекты, которым предоставлен доступ в КЗ в силу служебных обязанностей (электрики, сантехники и др.)

Личная выгода

Доступные в свободной продаже технические средства и программное обеспечение, штатные средства




5. Зарегистрированные пользователи ИС.

Личная выгода, неудовлетворенное тщеславие

Штатные средства




6. Операторы связи, предоставляющие в аренду каналы связи

Личная выгода

Доступные в свободной продаже технические средства и программное обеспечение




Для составления перечня актуальных угроз производится дифференциация угроз в соответствии с объектами среды, в которой обрабатывается информация, после чего для каждой из выделенных угроз выполняется следующая последовательность действий:

  • определяется вероятность реализации угрозы;

  • определяется коэффициент реализуемости угрозы и его вербальная интерпретация;

  • оценивается опасность каждой угрозы;

  • определяется актуальность угрозы.


Актуальные угрозы безопасности персональных данных - это совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Далее представлены результаты оценки актуальности угроз безопасности информации.

Таблица 6– Модель угроз



Название угрозы

Источник угрозы

Y2

Вербальная интерпретация коэффициента реализуемости угрозы

Показатель опасности угрозы

Актуальность угрозы

1

2

3

4

5

6

7

1

Перехват информации, передаваемых по каналам связи

1, 2, 3

10

Очень высокая

Средняя опасность

Актуальная

2

Перехват парольной информации, передаваемой по каналам связи. При необходимости их последующая расшифровка. Парольная информация используется непосредственно для доступа к сетевым сервисам или для реализации replay-атак

2, 3

0

Средняя

Средняя опасность

Актуальная

3

Загрузка ОС с внешнего носителя информации. Получение доступа к файловой системе, включая файлы БД, содержащие информацию

4, 5

5

Высокая

Средняя опасность

Актуальная

4

Загрузка ОС с внешнего носителя информации. Получение доступа к файловой системе, включая файлы системы безопасности. Расшифровка хешей паролей и использование паролей для доступа к ИС

4, 5

5

Высокая

Средняя опасность

Актуальная

5

Кража съемных носителей информации, содержащих информацию

4, 5, 1

2

Средняя

Высокая опасность

Актуальная

6

Запись информации, содержащей информацию, на внешние носители информации нарушителем

1, 4, 5

5

Высокая

Высокая опасность

Актуальная

7

Съем информации, содержащих информацию, при подключении накопителя к АРМ, управляемому потенциальным нарушителем

4, 5

2

Средняя

Высокая опасность

Актуальная

8

Получение доступа к ИС в обход правил разграничения доступа по логическим именам терминалов, технических средств, узлов сети, каналов связи

1, 2

10

Высокая

Высокая опасность

Актуальная

9

Получение доступа к интерфейсам ИС в обход правил фильтрации сетевых пакетов

2, 6

10

Очень высокая

Высокая опасность

Актуальная

10

Получение доступа к интерфейсам ИС в обход механизма аутентификации доступа к сети

2, 3, 4

10

Очень высокая

Высокая опасность

Актуальная

11

Получение доступа к интерфейсам ИС путем компрометации учетной записи с привилегиями администратора МЭ. Аутентификация на МЭ под учетной записью администратора и внесение модификаций

2, 3, 4

10

Очень высокая

Высокая опасность

Актуальная

12

Получение доступа к интерфейсам ИС из-за сбоев и отказов МЭ

2, 3

2

Средняя

Высокая опасность

Актуальная

13

Подбор паролей к средствам удаленного управления (и другим сетевым сервисам). Эксплуатация уязвимостей, позволяющих повысить привилегии в системе

2

5

Высокая

Высокая опасность

Актуальная

14

Подбор паролей к учетной записи ОС при прямом доступе к ПК

4, 5

2

Средняя

Высокая опасность

Актуальная

15

Получение несанкционированного доступа к томам, каталогам, файлам БД

2, 4, 5

2

Средняя

Высокая опасность

Актуальная

16

Получение несанкционированного доступа к информации путем доступа к неочищенным освобождаемым областям оперативной памяти

1, 4

2

Средняя

Средняя опасность

Актуальная

17

Внедрение вредоносных программ при наличии физического доступа к системе. Использование вредоносных модулей для перехвата передаваемой информации, перехвата паролей, организации удаленного доступа к системе

2, 4, 5, 6

2

Средняя

Высокая опасность

Актуальная

18

Внесение изменений в логику работы ПО путем подмены библиотек и / или патчинга приложения и / или изменения конфигурационных файлов приложения

2, 6

5

Высокая

Высокая опасность

Актуальная

19

Получение доступа к содержимому БД в обход существующих правил разграничения доступа путем эксплуатации уязвимостей СУБД

2, 3, 4

5

Высокая

Высокая опасность

Актуальная

20

Получение доступа к содержимому БД в обход существующих правил разграничения доступа путем эксплуатации уязвимостей прикладного ПО

2, 3

2

Средняя

Высокая опасность

Актуальная

21

Получение несанкционированного доступа к содержимому отдельных записей и полей записей БД, содержащей информацию

2, 4

5

Высокая

Средняя опасность

Актуальная

22

Вывод информации, содержащей информацию, путем распечатывания экранных форм

4

5

Высокая

Средняя опасность

Актуальная

23

Получение доступа к ИС ввиду некорректной настройки средств защиты на отдельных программных и программно-аппаратных средствах в составе ИС

2, 3, 4, 5, 6

2

Средняя

Высокая опасность

Актуальная

24

Использование уязвимостей системного ПО

2, 3, 4

5

Высокая

Средняя опасность

Актуальная