Санкт-Петербург



Download 10,56 Mb.
Pdf ko'rish
bet64/198
Sana24.02.2022
Hajmi10,56 Mb.
#209176
1   ...   60   61   62   63   64   65   66   67   ...   198
Bog'liq
1 almanakh 2018 tom1

Ключевые слова: автоматизированная система управления зданием, «Умный дом», защита 
информации, нарушитель информационной безопасности, угрозы безопасности информации. 
При обеспечении информационной безопасности (ИБ) любой автоматизированной 
системы необходимо исследовать все возможные источники угроз ИБ, как главной 
составляющей возможных каналов воздействия на защищаемую информацию или ее 
перехвата. Наиболее опасными из них являются антропогенные источники, а именно люди, 
которые могут реализовать угрозы безопасности информации (БИ) как умышленно, так и 
случайно. 
Так как на данный момент отсутствует общий регламент по защите информации (ЗИ) в 
решениях задач в системах типа «Умный дом» (УД), то в целях создания единого 
обобщенного подхода к обеспечению ИБ УД очевидна постановка задачи разработки модели 
нарушителя ИБ конкретно для системы УД. 
Для решения поставленной задачи было проведено исследование законодательной 
и нормативно-правовой базы Российской Федерации (РФ) в области информационной 
безопасности, проведен анализ научной литературы и методических рекомендаций 
ФСТЭК и ФСБ России по составлению моделей нарушителя. На основе результатов 
исследования, представленных в табл. 1, был определен структурный базис модели 
нарушителя УД. 


Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
95 
Таблица 1. Сравнение структур модели нарушителя 
СТО БР ИББС-1.0-
2014 Обеспечение 
ИБ организаций БС 
РФ [1] 
Методика 
определения УБИ 
в 
информационных 
системах
(ИС) [2] 
Модель угроз и нарушителя 
безопасности персональных 
данных (ПДн), 
обрабатываемых в типовых 
ИСПДн отрасли [3] 
Методические 
рекомендации 
ФСБ [4] 
Описание
и классификация 
нарушителей ИБ 
Типы 
нарушителей 
Описание 
нарушителей 
ИБ 
Категории 
нарушителей 
Описание 
нарушителей 
(субъектов атак) 
Виды 
нарушителей 
Потенциал 
нарушителей 
Возможности 
нарушителей 
Возможная 
мотивация 
действий 
Мотивация 
Цель атаки 
Опыт 
Компетентность 
Знания 
Имеющаяся 
информация
об объекте атаки 
Доступные 
ресурсы, 
необходимые для 
реализации угрозы 
Ресурсы, 
требуемые для 
реализации угроз 
БИ 
Имеющиеся у нарушителя 
средства атак 
Имеющиеся
у нарушителя 
средства атак 
Способ реализации 
угроз ИБ со 
стороны указанных 
нарушителей 
Способы 
реализации угроз 
БИ 
Описание каналов атак 
Описание 
каналов атак 
Тип нарушителя при 
использовании 
криптографических средств 
защиты информации (СКЗИ) 
Объект атаки 
Таким образом, представляется целесообразным разработать модель нарушителя УД по 
общим пунктам исследованных документов. Также следует принять во внимание модель 
автоматизированной системы управления зданием (АСУЗ) «Умный дом» [5], а именно 
исследовать нарушителей на каждом уровне системы. 
При составлении обобщенной модели нарушителя, представленной в табл. 2, 
нарушители были подразделены на внешних и внутренних. Однако при составлении 
актуальной модели нарушителя для конкретной системы УД следует учитывать и 
комбинированного нарушителя, как совместные или согласованные действия внутреннего и 
внешнего, обладающего всеми их знаниями, возможностями и ресурсами. Также в 
соответствии с [5] объектами атаки являются защищаемая информация, оборудование, на 
котором она хранится, а также устройства системы УД. 


Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
96 
Таблица 2. Модель нарушителя для систем типа УД 
Уровень 
Операторского управления 
Автоматического 
управления 
Исполнительных 
устройств 
Виды нарушителей 
Внутрен-
ний 
Пользователи УД 
Посетители и обслуживающий персонал помещения (здания) 
Лица, привлекаемые для установки, наладки, монтажа, пусконаладочных
и иных видов работ, обеспечивающих функционирование АСУЗ 
Внешний 
Разработчики, производители, поставщики программных, технических и 
программно-технических средств (ПТС) 
Террористические, экстремистские 
группировки 
Криминальные 
элементы, 
представители 
преступных 
организаций 
Лица, организующие DoS-атаки 
Криминальные элементы 
Лица, разрабатывающие или распространяющие вирусы и 
другие вредоносные программные коды 
Посторонние лица, пытающиеся получить доступ к защищаемой информации
в инициативном порядке 
Потенциал нарушителей 
Внутрен-
ний 
Низкий 
Средний 
Внешний 
Низкий 
Высокий 
Средний 
Возможности нарушителей 
Внутрен-
ний 
Возможность проводить атаки в пределах контролируемой зоны (КЗ), с 
физическим доступом к средствам вычислительной техники (СВТ), линиям 
связи, системам электропитания и заземления 
Возможность располагать сведениями, содержащимися в конструкторской 
документации на аппаратные и программные компоненты УД 
Возможность изменять конфигурацию технических средств обработки 
информации (ТСОИ), вносить программно-аппаратные закладки в ПТС УД и 
обеспечивать съем информации, используя непосредственное подключение к 
ТСОИ 
Внешний 
Возможность внесения недекларированных возможностей (НДВ), программных 
закладок, вредоносных программ в программное обеспечение (ПО) УД на 
стадии его разработки, внедрения и сопровождения 
Возможность несанкционированного 
доступа (НСД) из общественных 
сетей связи 
Возможность создания и применения специальных 
технических средств (ТС) для добывания
или воздействия на информацию или ТС, 
распространяющейся в виде физических полей
или явлений 
Возможность создавать способы атак, осуществлять их подготовку и 
проведение за пределами КЗ 
Возможность привлекать специалистов, имеющих опыт разработки и анализа 
оборудования УД 
Возможность доступа к проводным каналам или к зоне 
устойчивого перехвата радиосигналов сети 


Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
97 
Уровень 
Операторского управления 
Автоматического 
управления 
Исполнительных 
устройств 
Мотивация 
Внутрен-
ний 
Причинение имущественного ущерба путем обмана или злоупотребления 
доверием 
Непреднамеренные, неосторожные или неквалифицированные действия 
Внешний 
Совершение террористических актов 
Причинение 
имущественного 
ущерба путем 
мошенничества
или иным 
преступным путем 
Идеологические или политические 
мотивы 
Причинение имущественного ущерба 
путем мошенничества
или иным преступным путем 
Выявление уязвимостей с целью их продажи и получения финансовой выгоды 
Любопытство или желание самореализации 
Опыт 
Внутрен-
ний 
Для непреднамеренных воздействий (НПВ) специфический опыт не требуется 
Опыт работы в области применения 
информационных технологий
или в области ЗИ 
Опыт настройки и работы 
с оборудованием УД (логическими 
контроллерами, датчиками и т.д.) 
Внешний 
Знания 
Внутрен-
ний 
Сведения о мерах ЗИ, применяемых в информационной системе данного типа 
Сведения о структурно-функциональных характеристиках и особенностях 
функционирования УД 
Легальное имя доступа 
Сведения в конструкторской 
документации на аппаратные
и программные компоненты УД 
Защищаемая информация 
Сведения о физических мерах 
защиты АСУЗ 
Внешний 
Общедоступная информация об уязвимостях отдельных компонент АСУЗ 
Сведения о мерах ЗИ, применяемых в информационной системе данного типа 
Информация о возможных способах 
атак 
Доступные ресурсы, необходимые для реализации угрозы 
Внутрен-
ний 
Штатные средства АСУЗ 
Доступные в свободной продаже аппаратные средства и ПО, в том числе 
программные и аппаратные компоненты СКЗИ 
Внешний 
Специально разработанные ТС и ПО 
Средства перехвата и анализа информационных потоков в 
каналах связи 
Специальные ТС перехвата информации по ТКУИ 
Способ реализации угроз ИБ со стороны указанных нарушителей 
Внутрен-
ний 
НПВ на информацию 
НСД к панели оператора или управляющему устройству 
Преднамеренные воздействия (ПНВ) на защищаемую информацию, носители 
информации, датчики, логические устройства и электроприборы 
Внешний 
ПНВ на информацию и средства, НСД через незащищенные каналы связи 
Перехват информативных сигналов 
по техническим каналам утечки 
информации (ТКУИ) 
ПНВ на средства, 
расположенные
за пределами КЗ 


Альманах научных работ молодых ученых 
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1 
98 
Уровень 
Операторского управления 
Автоматического 
управления 
Исполнительных 
устройств 
Атаки на 
сигнальные цепи, 
цепи 
электропитания
и заземления 
Атаки, основанные на использовании уязвимостей и НДВ средств зашиты, 
внесенные в процессе создания, перевозки, внедрения, наладки этих средств 
Таким образом, можно сделать вывод о том, что более всего для нарушителя интересен 
уровень операторского управления, так как именно на данном уровне нарушитель имеет 
больше всего возможностей, ресурсов и знаний, обладает высоким потенциалом для 
реализации угроз БИ. 

Download 10,56 Mb.

Do'stlaringiz bilan baham:
1   ...   60   61   62   63   64   65   66   67   ...   198




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish