Модель нарушителя
При разработке модели нарушителя определяются:
предположения о категориях лиц, к которым может принадлежать нарушитель;
предположения о мотивах действий нарушителя (преследуемых нарушителем целей);
предположения о квалификации нарушителя и его технической оснащённости (об используемых для совершения нарушения методах и средствах);
ограничения и предположения о характере возможных действий нарушителя.
По отношению к АС нарушители могут быть внутренними (из числа персонала) или внешними (посторонними лицами).
1. Внутренним нарушителем может быть лицо из следующих категорий персонала:
пользователи (операторы) системы;
персонал, обслуживающий технические средства (инженеры, техники и т.п.);
сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);
технический персонал обслуживающий здания и имеющий доступ в помещения, выделенные для размещения компонентов АС;
руководители различных уровней должностной иерархии.
2. Внешним нарушителем могут быть следующие лица:
клиенты (представители сторонних организаций, граждане);
посетители;
представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности АО;
лица, случайно или умышленно нарушившие пропускной режим;
любые лица за пределами контролируемой зоны.
По уровню знаний об АС :
знает функциональные особенности АС, основные принципы формирования массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами АС;
обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.
По уровню возможностей (используемым методам и средствам):
применяющий пассивные средства (средства перехвата без модификации компонентов системы);
использующий только штатные средства и недостатки систем защиты для её преодоления (несанкционированные действия с использованием разрешённых средств);
применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).
По времени действия :
в процессе функционирования АС (во время работы компонентов системы);
в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в её работе, перерывов для обслуживания и ремонта и т.п.).
По месту действия :
за пределами контролируемой зоны АC;
внутри контролируемой зоны АC, но без доступа в выделенные для размещения компонентов АС помещения;
внутри выделенных помещений, но без доступа к техническим средствам АС;
с доступом к техническим средствам АС и с рабочих мест конечных пользователей (операторов);
с доступом в зону данных (баз данных, архивов и т.п.);
с доступом в зону управления средствами обеспечения безопасности АС.
Могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:
работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;
нарушитель, планируя попытки НСД, скрывает свои несанкционированные действия от других сотрудников;
НСД может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.
Правильно построенная (адекватная реальности) модель нарушителя, в которой отражаются его практические и теоретические возможности, априорные знания, время и место действия и т.п. характеристики - важная составляющая успешного проведения анализа риска и определения требований к составу и характеристикам системы защиты.