Методы и средства несанкционированного доступа к информации

 

Рассмотрим наиболее распространенные методы и средства для несанкционированного получения информации из компьютерных систем (КС).

Как уже упоминалось выше в данной лекции:

Несанкционированный доступ к информации (НСД) [4] - получение защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

 

Для дальнейшего рассмотрения вопроса защиты информации от несанкционированного доступа необходимо определить некоторые понятия.

Защита информации от несанкционированного доступа (ЗИ от НСД) [4] - защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

 

Таблица 1. Основные понятия и термины, относящиеся к защите информации от НСД, из Руководящего документа ФСТЭК [8]

№ п\п Термин Определение
1. Доступ к информации (Доступ) Access to information Ознакомление с информацией, ее обработка, в частности, копирование модификация или уничтожение информации
2. Правила разграничения доступа (ПРД) Security policy Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа
3. Санкционированный доступ к информации Authorized access to information Доступ к информации, не нарушающий правила разграничения доступа
4. Несанкционированный доступ к информации (НСД) Unauthorized access to information Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами Примечание: под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем
5. Защита от несанкционированного доступа (Защита от НСД) Protection from unauthorized access Предотвращение или существенное затруднение несанкционированного доступа
6. Субъект доступа (Субъект) Access subject Лицо или процесс, действия которого регламентируются правилами разграничения доступа
7. Объект доступа (Объект) Access object Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа
8. Уровень полномочий субъекта доступа Subject privilege Совокупность прав доступа субъекта доступа
9. Нарушитель правил разграничения доступа (Нарушитель ПРД) Security policy violator Субъект доступа, осуществляющий несанкционированный доступ к информации
10. Модель нарушителя правил разграничения доступа (Модель нарушителя ПРД) Security policy violator’s model Абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа
11. Комплекс средств защиты (КСЗ) Trusted computing base Совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации
12. Система разграничения доступа (СРД) Security policy realization Совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах
13. Идентификатор доступа Access identifier Уникальный признак субъекта или объекта доступа
14. Идентификация Identification Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов
15. Пароль Password Идентификатор субъекта доступа, который является его (субъекта) секретом
16. Аутентификация Authentication Проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности
17. Защищенное средство вычислительной техники (защищенная автоматизированная система) Trusted computer system Средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты
18. Средство защиты от несанкционированного доступа (Средство защиты от НСД) Protection facility Программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа
19. Модель защиты Protection model Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа
20. Многоуровневая защита Multilevel security Защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности
21. Класс защищенности средств вычислительной техники, автоматизированной системы Protection class of computer systems Определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации
22. Средство криптографической защиты информации (СКЗИ) Cryptographic information protection facility Средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности