Несанкционированный доступ
НСД — доступ к информации в нарушение установленных правил разграничения доступа; ключевое понятие российской нормативки по защите информации.
Что такое Несанкционированный доступ
Слово «несанкционированный» означает «не разрешённый, совершённый без санкции» — то есть без официального дозволения уполномоченного лица. НСД расшифровывается как несанкционированный доступ — доступ к информации, нарушающий установленные правила разграничения доступа.
Тонкость в определении принципиальная: НСД — это нарушение правил, а не обязательно взлом. Сотрудник, который зашёл в чужую папку под своей легитимной учёткой просто потому, что права были настроены неаккуратно, совершил НСД. Никакой эксплуатации уязвимости, никакого хакера — а нарушение есть.
Отсюда вывод: НСД возникает там, где правила разграничения либо нарушены, либо изначально не определены. Второй случай встречается чаще: если у вас нет матрицы доступа, доказать факт НСД юридически почти невозможно — нечего нарушать.
Откуда термин
НСД — понятие из руководящих документов Гостехкомиссии (сегодня — ФСТЭК России), закрепившееся с начала 1990-х. Поэтому в российской нормативке и продуктовых описаниях вы постоянно встречаете конструкцию «СЗИ от НСД» — средство защиты информации от несанкционированного доступа. Это целый сертифицируемый класс продуктов: Secret Net Studio, Dallas Lock, «Аккорд».
Английский эквивалент — unauthorized access, но прямого соответствия нет: в западной практике эту область покрывают понятия access control и authorization, а вот отдельного сертифицируемого класса «СЗИ от НСД» там просто не существует.
Как реализуется
| Путь | Пример | Чем закрывается |
|---|---|---|
| Компрометация учётки | Фишинг, подбор, утечка пароля | 2FA, менеджеры паролей |
| Эксплуатация уязвимости | RCE в непропатченном сервисе | Патчи, WAF, IPS |
| Повышение привилегий | Локальный эксплойт, sudo-мисконфиг | Обновления, аудит прав |
| Ошибка конфигурации | Открытый наружу Redis без пароля | Сегментация, файрвол |
| Избыточные права | «Дали admin, чтобы не разбираться» | RBAC, ревью доступов |
| Физический доступ | Загрузка с флешки, съём диска | СДЗ, шифрование дисков |
| Социальная инженерия | Уговорили дать доступ | Обучение, процессы |
Самая частая причина в реальных разборах — не взлом, а последние две строки таблицы: избыточные права и открытая наружу служба.
Как защищаются
Классическая связка мер по приказам ФСТЭК — это, по сути, слои:
- Идентификация и аутентификация. Понять, кто пришёл, и убедиться в этом.
- Управление доступом. Минимальные привилегии, дискреционное и мандатное разграничение.
- Ограничение среды. Замкнутая программная среда, контроль подключаемых устройств, межсетевое экранирование.
- Доверенная загрузка (СДЗ). Против физического доступа: не дать загрузиться в обход системы защиты.
- Регистрация событий.SIEM — чтобы факт НСД был зафиксирован, а не остался незамеченным.
- Контроль целостности. Обнаружить подмену файлов постфактум.
Практический минимум для VPS: вход по SSH-ключам с отключённой парольной аутентификацией, PermitRootLogin no, файрвол по умолчанию на deny, базы и кеши слушают только localhost или внутреннюю сеть VPC, а не публичный IP.
# что реально торчит наружу — проверьте, вас удивит
ss -tulpn | grep -v '127.0.0.1\|::1'
Ответственность
Неправомерный доступ к охраняемой законом компьютерной информации — состав статьи 272 УК РФ, если он повлёк уничтожение, блокирование, модификацию или копирование информации. Рядом стоят ст. 273 (вредоносные программы) и ст. 274 (нарушение правил эксплуатации). Если в результате НСД утекли персональные данные, к этому добавляется ответственность оператора — от штрафов КоАП до ст. 272.1 УК РФ.
Для организации важен побочный момент: чтобы доказать неправомерность доступа, нужны и утверждённые правила разграничения, и журналы, подтверждающие факт. Без логов инцидент останется догадкой.
Связанные термины
- СЗИ и СДЗ — средства защиты от НСД
- RBAC и ACL — те самые правила разграничения доступа
- Аутентификация — первый барьер
- Инцидент ИБ — чем оформляется факт НСД
- Конфиденциальность — свойство, которое нарушает НСД
Готовы запустить GPU-задачу?
Запустить GPU-сервер