При разработке модели нарушителя определяются следующие предположения

1) о категориях лиц, к которым может принадлежать нарушитель;

2) о мотивах действий нарушителя (целях, преследуемых нарушителем);

3) о квалификации нарушителя и его технической оснащенности (методах и средствах, используемых для совершения нарушения);

4) о характере возможных действий нарушителя.

По отношению к АИТУ нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренними нарушителями могут быть лица из следующих категорий персонала:

ü пользователи (операторы) системы;

ü персонал, обслуживающий технические средства (инженеры, техники);

ü сотрудники отделов разработки и сопровождения программного обеспечения(прикладные и системные программисты);

ü технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здание и помещения, где расположены компонентыАИТУ);

ü сотрудники службы безопасности АИТУ;

ü руководители различного уровня должностной иерархии.

Посторонние лица, которые могут быть внешними нарушителями:

ü клиенты (представители организаций, граждане);

ü посетители (приглашенные по какому-либо поводу);

ü представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);

ü представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;

ü лица, случайно или умышленно нарушившие пропускной режим (без цели нарушения безопасности АИТУ);

ü любые лица за пределами контролируемой территории.

Можно выделить три основных мотива нарушений:

1) безответственность;

2) самоутверждение;

3) корыстный интерес.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег.

Нарушение безопасности АИТУ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АИТУ информации. Даже если АИТУ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.

Всех нарушителей можно классифицировать по четырем параметрам: уровню знаний об АИТУ, уровню возможностей, времени и методу действия.

По уровню знаний об АИТУ различают нарушителей:

ü знающих функциональные особенности АИТУ, основные закономерности формирования в ней массивов данных и протоков запросов к ним, умеющих пользоваться штатными средствами;

ü обладающих высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;

ü обладающих высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;

ü знающих структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

По уровню возможностей (методам и средствам) нарушителями могут быть:

ü применяющие чисто агентурные методы получения сведений;

ü применяющие пассивные средства (технические средства перехвата без модификации компонентов системы);

ü использующие только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

ü применяющие методы и средства активного воздействия (модификацию и подключение дополнительных механических средств, подключение к каналам передачи данных, внедрение программных «закладок» и использование специальных инструментальных и технологических программ).

По времени действия различают нарушителей, действующих:

ü в процессе функционирования АИТУ (во время работы компонентов системы);

ü в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);

ü как в процессе функционирования АИТУ, так и в период неактивности компонентов системы.

По месту действия нарушители могут быть:

ü не имеющие доступа на контролируемую территорию организации;

ü действующие с контролируемой территории без доступа в здания и сооружения;

ü действующие внутри помещений, но без доступа к техническим средствам АИТУ;

ü действующие с рабочих мест конечных пользователей (операторов) АИТУ;

ü имеющие доступ в зону данных (баз данных, архивов и т.п.);

ü имеющие доступ в зону управления средствами обеспечения безопасности АИТУ.

При классификации нарушителей могут учитываться следующие ограничения и предположения о характере их возможных действий:

ü работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;

ü нарушитель, планируя попытку несанкционированного доступа к информации, скрывает свои неправомерные действия от других сотрудников;

ü несанкционированный доступ к информации может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатком принятой технологии обработки информации и т.д.

Определение конкретных характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика.