При разработке модели нарушителя определяются следующие предположения
1) о категориях лиц, к которым может принадлежать нарушитель;
2) о мотивах действий нарушителя (целях, преследуемых нарушителем);
3) о квалификации нарушителя и его технической оснащенности (методах и средствах, используемых для совершения нарушения);
4) о характере возможных действий нарушителя.
По отношению к АИТУ нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренними нарушителями могут быть лица из следующих категорий персонала:
ü пользователи (операторы) системы;
ü персонал, обслуживающий технические средства (инженеры, техники);
ü сотрудники отделов разработки и сопровождения программного обеспечения(прикладные и системные программисты);
ü технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здание и помещения, где расположены компонентыАИТУ);
ü сотрудники службы безопасности АИТУ;
ü руководители различного уровня должностной иерархии.
Посторонние лица, которые могут быть внешними нарушителями:
ü клиенты (представители организаций, граждане);
ü посетители (приглашенные по какому-либо поводу);
ü представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);
ü представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
ü лица, случайно или умышленно нарушившие пропускной режим (без цели нарушения безопасности АИТУ);
ü любые лица за пределами контролируемой территории.
Можно выделить три основных мотива нарушений:
1) безответственность;
2) самоутверждение;
3) корыстный интерес.
При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.
Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег.
Нарушение безопасности АИТУ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АИТУ информации. Даже если АИТУ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.
Всех нарушителей можно классифицировать по четырем параметрам: уровню знаний об АИТУ, уровню возможностей, времени и методу действия.
По уровню знаний об АИТУ различают нарушителей:
ü знающих функциональные особенности АИТУ, основные закономерности формирования в ней массивов данных и протоков запросов к ним, умеющих пользоваться штатными средствами;
ü обладающих высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
ü обладающих высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
ü знающих структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.
По уровню возможностей (методам и средствам) нарушителями могут быть:
ü применяющие чисто агентурные методы получения сведений;
ü применяющие пассивные средства (технические средства перехвата без модификации компонентов системы);
ü использующие только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
ü применяющие методы и средства активного воздействия (модификацию и подключение дополнительных механических средств, подключение к каналам передачи данных, внедрение программных «закладок» и использование специальных инструментальных и технологических программ).
По времени действия различают нарушителей, действующих:
ü в процессе функционирования АИТУ (во время работы компонентов системы);
ü в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);
ü как в процессе функционирования АИТУ, так и в период неактивности компонентов системы.
По месту действия нарушители могут быть:
ü не имеющие доступа на контролируемую территорию организации;
ü действующие с контролируемой территории без доступа в здания и сооружения;
ü действующие внутри помещений, но без доступа к техническим средствам АИТУ;
ü действующие с рабочих мест конечных пользователей (операторов) АИТУ;
ü имеющие доступ в зону данных (баз данных, архивов и т.п.);
ü имеющие доступ в зону управления средствами обеспечения безопасности АИТУ.
При классификации нарушителей могут учитываться следующие ограничения и предположения о характере их возможных действий:
ü работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;
ü нарушитель, планируя попытку несанкционированного доступа к информации, скрывает свои неправомерные действия от других сотрудников;
ü несанкционированный доступ к информации может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатком принятой технологии обработки информации и т.д.
Определение конкретных характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика.