Общая характеристика уязвимостей ИСПД н.

Уязвимость ИСПДн – недостаток или слабое место в системном или прикладном программном (программноаппаратном) обеспечении автоматизированной информационной системы, которое может быть использовано для реализации угрозы безопасности персональных данным.

Причины возникновения уязвимостей:

· ошибки при проектировании и разработке программного (программноаппаратного) обеспечения;

· Носитель вредоносной программы

· Аппаратная закладка

· Съемный носитель информации

· внедрение вредоносных программ, создающих уязвимости в программном и программноаппаратном обеспечении;

· несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;

· сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).

 

К основным группам уязвимостей ИСПДн, относятся:

 

· уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия);

· уязвимости прикладного программного обеспечения (в том числе средств защиты информации).

 

5.2.2.1. Характеристика уязвимостей системного ПО.

 

Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем. При этом возможны уязвимости:

· в микропрограммах, в прошивках ПЗУ, ППЗУ;

· в средствах операционной системы, предназначенных для управления локальными ресурсами ИСПДн (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.), драйверах, утилитах;

· в средствах операционной системы, предназначенных для выполнения вспомогательных функций, утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиках и т.п.), программах предоставления пользователю дополнительных услуг (специальных вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т.д.);

· в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы.

 

Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой:

§ функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;

· фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;

· отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);

Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др.

 

5.2.2.2. Характеристика уязвимостей прикладного ПО.

 

К прикладному программному обеспечению относятся прикладные программы общего пользования и специальные прикладные программы.

Прикладные программы общего пользования – это это текстовые и графические редакторы, медиапрограммы (аудио и видеопроигрыватели, программные средства приема телевизионных программ и т.п.), системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, VisualBasic), средства защиты информации общего пользования и т.п.

Специальные прикладные программы – это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данной ИСПДн (в том числе программные средства защиты информации, разработанные для конкретной ИСПДн).

 

Уязвимости прикладного программного обеспечения могут представлять собой:

· функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) изза конфликтов, связанных с распределением ресурсов системы;

· функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и вызова штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой;

· фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе;

· отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);

· ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации.