Основы комплексной системы защиты информации

В руководящих документах приведены следующие основные способы несанкционированного доступа к информации в КС:
непосредственное обращение к объекту с конфиденциальной информацией (например, с помощью управляемой пользователем программы, читающей данные из файла или записывающей их в него);

создание программных и технических средств, выполняющих обращение к объекту в обход средств защиты (например, с использованием случайно или намеренно оставленных разработчиком этих средств, так называемых люков);
модификация средств защиты для осуществления несанкционированного доступа (например, внедрение программных закладок);

внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих структуру и функции этих средств для осуществления несанкционированного доступа (например, путем загрузки на компьютере иной, незащищенной операционной системы).

Модель нарушителя в руководящих документах определяется исходя из следующих предположений:
нарушитель имеет доступ к работе со штатными средствами КС;
нарушитель является специалистом высшей квалификации

Можно выделить следующие уровни возможностей нарушителя, предоставляемые ему штатными средствами КС (каждый следующий уровень включает в себя предыдущий):
1) запуск программ из фиксированного набора (например,подготовка документов или получение почтовых сообщений);

2) создание и запуск собственных программ (возможности опытного пользователя или пользователя с полномочиями отладки программ);
3)управление функционированием КС — воздействие на ее базовое программное обеспечение, состав и конфигурацию КС (например, внедрение программной закладки);

С учетом различных уровней возможностей нарушителя выделяют следующие вспомогательные способы несанкционированного доступа к информации в КС, позволяющие нарушителю использовать перечисленные ранее основные способы:

Для удобства назначения полномочий пользователям КС они могут объединяться в группы в соответствии с должностным положением пользователей в организации и (или) их принадлежностью одному из ее структурных подразделений. Информация о группах пользователей также может размещаться в регистрационной базе данных КС.