Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Елементи моделі загроз експлуатаційній безпеці ПЗ

Аналіз загроз експлуатаційній безпеці ПЗ КС дозволяє, розділити їх на два типи: випадкові і навмисні, причому останні підрозділяються на активні і пасивні. Активні погрози направлені на зміну технологічно обумовлених алгоритмів, програм функціональних перетворень або інформації, над якою ці перетворення здійснюються. Пасивні погрози орієнтовані на порушення безпеки інформаційних технологій без реалізації таких модифікацій.

Варіант загальної структури набору потенційних загроз безпеці інформації і ПЗ на етапі експлуатації КС приведений в табл.1.2.

Таблица 1.2

Загрози порушення безпеки ПО Несанкціоновані дії
Випадкові Навмисні
Пасивні Активні
Прямі невиявлені помилки програмного забезпечення КС; відмови та збої технічних засобів КС; помилки операторів; несправність засобів шифрування; стрибки електроживлення на технічних засобах; старіння носіїв інформації; руйнування інформації під впливом фізичних чинників (аварії і т.п.). маскування несанкціонованих запитів під запити ОС; обхід програм розмежування доступу; читання конфіденційних даних з джерел інформації; підключення до каналів зв'язку з метою отримання інформації ("підслуховування" і/або "ретрансляція"); при аналізі трафіку; використання терміналів та ЕОМ інших операторів; навмисний виклик випадкових чинників   включення в програми РПЗ, що виконують функції порушення цілісності і конфіденційності інформації і ПЗ; ввід нових програм, що виконують функції порушення безпеки ПЗ; незаконне застосування ключів розмежування доступу; обхід програм розмежування доступу; виведення з ладу підсистеми реєстрації і обліку; знищення ключів шифрування і паролів; підключення до каналів зв'язку з метою модифікації, знищення, затримки і перевпорядковування даних; вивід з ладу елементів фізичних засобів захисту інформації КС; навмисний виклик випадкових чинників.  
Непрямі порушення пропускного режиму і режиму секретності; природні потенційні поля; завади і т.п.   перехоплення ЕМВ (електромагнітного випромінення) від технічних засобів; розкрадання виробничих відходів (роздруків); візуальний канал; підслуховуючі пристрої; дистанційне фотографування і т.п.   завади; відключення електроживлення; навмисний виклик випадкових чинників.  

WXzZx();

Розглянемо основний зміст даної таблиці.

Загрози, що носять випадковий характер і пов'язані з відмовами, збоями апаратури, помилками операторів і т.п. припускають порушення заданого власником інформації алгоритму, програми її обробки або спотворення змісту цієї інформації. Суб'єктивний чинник появи таких загроз зумовлений обмеженою надійністю роботи людини і виявляється у вигляді помилок (дефектів) у виконанні операцій формалізації алгоритму функціональних перетворень або опису алгоритму на деякій мові, зрозумілій обчислювальній системі.

Загрози, що носять зловмисний характер викликані, як правило, навмисним бажанням суб'єкта здійснити несанкціоновані зміни з метою порушення коректного виконання перетворень, достовірності і цілісності даних, яке виявляється в спотвореннях їх змісту або структури, а також з метою порушення функціонування технічних засобів в процесі реалізації функціональних перетворень і зміни конструктиву обчислювальних систем і систем телекомунікацій.

На підставі аналізу вразливих місць і після складання повного переліку загроз для даного конкретного об'єкту інформаційного захисту, наприклад, у вигляді вказаної таблиці, необхідно здійснити перехід до неформалізованого або формалізованого опису моделі погроз експлуатаційній безпеці ПЗ КС. Така модель, у свою чергу, повинна співвідноситися з узагальненою моделлю (або навіть бути її складовою частиною) забезпечення безпеки інформації і ПЗ об'єкту захисту.

До неформалізованого опису моделі загроз доводиться вдаватися у тому випадку, коли структура, склад і функціональна наповненість комп'ютерних системи управління носять багаторівневий, складний, розподілений характер, а дії потенційного порушника інформаційних і функціональних ресурсів важко піддаються формалізації. Приклад опису моделі загроз при дослідженні спроб несанкціонованих дій відносно КС, що захищається, приведений на рис.1.4.

Рис.1.4. Неформалізований опис моделі загроз безпеці ПЗ на етапі досліджень спроб несанкціонованих дій відносно інформаційних ресурсів КС.

Після остаточного синтезу моделі загроз розробляються практичні рекомендації і методики по її використанню для конкретного об'єкту інформаційного захисту, а також механізми оцінки адекватності моделі і реальної інформаційної ситуації і оцінки ефективності її застосування при експлуатації КС.

Таким чином, розробка моделей загроз безпеці програмного забезпечення КС є одним з важливих етапів комплексного рішення проблеми забезпечення безпеки інформаційних технологій і на етапі створення КС відрізняється від розробки таких моделей для етапу експлуатації КС.

 

Принципова відмінність підходів до синтезу моделей зогроз технологічній і експлуатаційній безпеці ПЗ полягає в різних мотивах поведінки потенційного порушника інформаційних ресурсів, принципах, методах і засобах дії на ПЗ на різних етапах його життєвого циклу.


Читайте також:

  1. Аварії з викидом (загрозою викиду) сильнодіючих отруйних речовин на об'єктах економіки.
  2. Автокореляція залишків – це залежність між послідовними значеннями стохастичної складової моделі.
  3. Адміністративне правопорушення як підстава юридичної відповідальності: ознаки і елементи.
  4. Азот, фосфор, біогенні елементи та їх сполуки, органічні речовини
  5. Алгоритм розрахунку ризиків за загрозою відмова в обслуговуванні
  6. Аналіз економічноїї політики за допомогою моделі Мандела-Флемінга. Випадки вільного та фіксованого валютного курсів.
  7. Аналітичний підбір математичної моделі.
  8. Базові елементи управління проектом
  9. Безпека» і «небезпека» як ключові категорії в безпеці життєдіяльності
  10. Бізнес-моделювання в системі управління розвитком підприємства. Поняття та етапи формування бізнес-моделі
  11. Будова й основні елементи машини
  12. В крайньому випадку, записи мають бути тезисні, в які ви можете заглянути у крайньому випадку (при загрозі краху, загибелі тощо).




Переглядів: 1758

<== попередня сторінка | наступна сторінка ==>
Підхід до створення моделі погроз технологічної безпеки ПЗ | Загальна характеристика і класифікація комп'ютерних вірусів

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.002 сек.