Елементи моделі загроз експлуатаційній безпеці ПЗ

Аналіз загроз експлуатаційній безпеці ПЗ КС дозволяє, розділити їх на два типи: випадкові і навмисні, причому останні підрозділяються на активні і пасивні. Активні погрози направлені на зміну технологічно обумовлених алгоритмів, програм функціональних перетворень або інформації, над якою ці перетворення здійснюються. Пасивні погрози орієнтовані на порушення безпеки інформаційних технологій без реалізації таких модифікацій.

Варіант загальної структури набору потенційних загроз безпеці інформації і ПЗ на етапі експлуатації КС приведений в табл.1.2.

Таблица 1.2

Загрози порушення безпеки ПО	Несанкціоновані дії
Випадкові	Навмисні
Пасивні	Активні
Прямі	невиявлені помилки програмного забезпечення КС; відмови та збої технічних засобів КС; помилки операторів; несправність засобів шифрування; стрибки електроживлення на технічних засобах; старіння носіїв інформації; руйнування інформації під впливом фізичних чинників (аварії і т.п.).	маскування несанкціонованих запитів під запити ОС; обхід програм розмежування доступу; читання конфіденційних даних з джерел інформації; підключення до каналів зв'язку з метою отримання інформації ("підслуховування" і/або "ретрансляція"); при аналізі трафіку; використання терміналів та ЕОМ інших операторів; навмисний виклик випадкових чинників	включення в програми РПЗ, що виконують функції порушення цілісності і конфіденційності інформації і ПЗ; ввід нових програм, що виконують функції порушення безпеки ПЗ; незаконне застосування ключів розмежування доступу; обхід програм розмежування доступу; виведення з ладу підсистеми реєстрації і обліку; знищення ключів шифрування і паролів; підключення до каналів зв'язку з метою модифікації, знищення, затримки і перевпорядковування даних; вивід з ладу елементів фізичних засобів захисту інформації КС; навмисний виклик випадкових чинників.
Непрямі	порушення пропускного режиму і режиму секретності; природні потенційні поля; завади і т.п.	перехоплення ЕМВ (електромагнітного випромінення) від технічних засобів; розкрадання виробничих відходів (роздруків); візуальний канал; підслуховуючі пристрої; дистанційне фотографування і т.п.	завади; відключення електроживлення; навмисний виклик випадкових чинників.

WXzZx();

Розглянемо основний зміст даної таблиці.

Загрози, що носять випадковий характер і пов'язані з відмовами, збоями апаратури, помилками операторів і т.п. припускають порушення заданого власником інформації алгоритму, програми її обробки або спотворення змісту цієї інформації. Суб'єктивний чинник появи таких загроз зумовлений обмеженою надійністю роботи людини і виявляється у вигляді помилок (дефектів) у виконанні операцій формалізації алгоритму функціональних перетворень або опису алгоритму на деякій мові, зрозумілій обчислювальній системі.

Загрози, що носять зловмисний характер викликані, як правило, навмисним бажанням суб'єкта здійснити несанкціоновані зміни з метою порушення коректного виконання перетворень, достовірності і цілісності даних, яке виявляється в спотвореннях їх змісту або структури, а також з метою порушення функціонування технічних засобів в процесі реалізації функціональних перетворень і зміни конструктиву обчислювальних систем і систем телекомунікацій.

На підставі аналізу вразливих місць і після складання повного переліку загроз для даного конкретного об'єкту інформаційного захисту, наприклад, у вигляді вказаної таблиці, необхідно здійснити перехід до неформалізованого або формалізованого опису моделі погроз експлуатаційній безпеці ПЗ КС. Така модель, у свою чергу, повинна співвідноситися з узагальненою моделлю (або навіть бути її складовою частиною) забезпечення безпеки інформації і ПЗ об'єкту захисту.

До неформалізованого опису моделі загроз доводиться вдаватися у тому випадку, коли структура, склад і функціональна наповненість комп'ютерних системи управління носять багаторівневий, складний, розподілений характер, а дії потенційного порушника інформаційних і функціональних ресурсів важко піддаються формалізації. Приклад опису моделі загроз при дослідженні спроб несанкціонованих дій відносно КС, що захищається, приведений на рис.1.4.

Рис.1.4. Неформалізований опис моделі загроз безпеці ПЗ на етапі досліджень спроб несанкціонованих дій відносно інформаційних ресурсів КС.

Після остаточного синтезу моделі загроз розробляються практичні рекомендації і методики по її використанню для конкретного об'єкту інформаційного захисту, а також механізми оцінки адекватності моделі і реальної інформаційної ситуації і оцінки ефективності її застосування при експлуатації КС.

Таким чином, розробка моделей загроз безпеці програмного забезпечення КС є одним з важливих етапів комплексного рішення проблеми забезпечення безпеки інформаційних технологій і на етапі створення КС відрізняється від розробки таких моделей для етапу експлуатації КС.

Принципова відмінність підходів до синтезу моделей зогроз технологічній і експлуатаційній безпеці ПЗ полягає в різних мотивах поведінки потенційного порушника інформаційних ресурсів, принципах, методах і засобах дії на ПЗ на різних етапах його життєвого циклу.

Читайте також:

<== попередня сторінка	\|	наступна сторінка ==>
Підхід до створення моделі погроз технологічної безпеки ПЗ	\|	Загальна характеристика і класифікація комп'ютерних вірусів

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.003 сек.