Содержание к диссертации
Введение
Глава 1. Описание подхода к безопасности информационных систем (ИС), основанного на процессном подходе и принципах открытой среды 14
1.1. Особенности, понятия и модели безопасности ИС в новом подходе 14
1.1.1. Предмет защиты 16
1.1.1.1. Информация как предмет защиты 16
1.1.1.2. Бизнес-процесс как предмет защиты [104,106] 18
1.1.1.3. Свойства безопасности предмета защиты 24
1.1.2. Референсность целей, критериев и управляющих параметров (защитных механизмов) системы защиты ИС 25
1.1.3. Объект защиты 29
1.1.3.1. Постановка задачи обеспечения безопасности 03 31
1.1.3.2. Представление функциональности ИС в открытой среде
1.1.3.2.1. Определение и свойства открытой среды 35
1.1.3.2.2. Эталонная модель открытой среды OSE/RM 38
1.1.4. Формулировка общей задачи обеспечения безопасности для ОЗ, представленного в виде модели OSE/RM 42
1.1.5. Референсное представление плоскости защиты модели открытой среды [128,134] 43
1.1.5.1. Межкатегорийное представление плоскости 3 44
1.1.5.2. Представление плоскости 3 в виде базовой функциональности 48
1.1.6. Референсное описание базовых процессов защиты 49
1.1.6.1. Классификация распределенности бизнес-процессов предприятия с точки зрения обмена данными с учетом модели OSE/RM 49
1.1.6.2. Референсное описание базового подмножества процессов защиты, реализуемых КСЗ [125,134] 51
1.1.6.3. Переход от ВМ к модели защиты BZ[ 125] 56
Выводы по 1-й главе 57
Глава 2. Задачи и архитектура компьютерной системы поддержки управления безопасностью информационных систем 60
2.1. Особенности современных программно-аппаратных средств защиты и жизненного цикла ИС и системы ее защиты 60
2.2. Типы компьютерных систем управления и их задачи 66
2.3. Компьютерная система поддержки управления безопасностью ИС 68
2.3.1. Состави структурная схема СПУБ 68
2.3.1.1. Описание системы поддержки принятия решений при проектирования КСЗ 69
2.3.1.1.1. Влияние факторов ИБ на принятие решений при проектировании КСЗ 69
2.3.1.1.2. Алгоритмы генеральных стратегий управления 74
2.3.1.1.3. Функциональная структура СППР 78
2.3.1.1.4. Состави структура СППР при проектировании КСЗ 87
2.3.1.2. Описание системы управления эксплуатацией КСЗ 91
2.3.2. Итерационный алгоритм ЖЦ КСЗ, реализуемый в СПУБ 98
Выводы по 2-й главе 101
Глава 3. Семантическое описание факторов безопасности ИС при проектировании КСЗ 103
3.1. Описание семантической модели [127...] 104
3.2. Описание онтологических классов 0С) Юб
3.2.1. Классы {Бизнес-модель}, {KS}, {Риски} 106
3.2.2. Класс {Модельугроз} 107
3.2.3. Класс {Уязвимости среды бизнес-процесса} 108
3.2.4. Класс {Нарушитель} 112
3.2.5. Класс {Потенциально-опасные атаки} 115
3.2.6. Класс {КСЗ} 117
3.2.7. Класс {Средства и меры защиты} 118
3.2.8. Класс механизмов защиты {Механизм} 120
3.3. Схема алгоритма вывода вариантов КСЗ 125
Выводы по 3-й главе 127
Глава 4. Компьютерный мониторинг и анализ состояния бизнес-процессов 129
4.1. Компьютерный мониторинг и анализ обстановки при проектировании КСЗ [117,120] 130
4.1.1. Оценка ценности информационных ресурсов, обрабатываемых бизнес-процессом.. 131
4.1.2. Оценка загрузки вычислительных ресурсов бизнес-процесса 135
4.1.3. Оценка уязвимостей среды бизнес-процесса 136
4.1.4. Оценка защищенности встроенными средствами 138
4.1.5. Анализ параметров мониторинга [119] 140
4.2. Компьютерный мониторинг состояния среды бизнес-процессов при эксплуатации КСЗ [123] 145
4.2.1. Мониторинг аномалий безопасности среды бизнес-процесса 146
4.2.1.1. Механизмы мониторинга сетевых аномалий 148
4.2.1.2. Механизмы мониторинга локальных аномалий
4.2.2. Выбор механизмов обнаружения 154
4.2.3. Анализ инцидента безопасности [108,111]
4.2.3.1. Выявление фазы атаки [107] 160
4.2.3.2. Анализ и определение возможности перехода от фазы развития атаки
к фазе реализации 164
4.2.3.3. Анализ нарушений критериев безопасности 167
Выводы по 4-й главе 171
Глава 5. Компьютерная поддержка формирования целей, стратегий и атак при проектировании и эксплуатации системы защиты 173
5.1. Формирование целей обеспечения безопасности при проектировании КСЗ[122] 173
5.1.1. Выбор генеральной стратегии проектирования 173
5.1.2. Детализация целей, обеспечивающих безопасность бизнес-процессов 175
5.1.3. Формирование значений критериев безопасности 179
5.2. Компьютерное формирование стратегий защиты (вариантов КСЗ) [106,112] 183
5.2.1. Формирование требований к защитным средствам и механизмам 184
5.2.2. Задача рационального выбора вариантов КСЗ 186
5.3. Компьютерное формирование целей и стратегий нарушителя 191
5.3.1. Компьютерное прогнозирование списков целей нарушителя и стратегий,
реализующих эти цели (атак) 192
5.3.1.1. Описание алгоритма вывода списка атак для этапа концептуального проектирования КСЗ [126] 200
5.3.1.2. Моделирование развития атаки [94,126] 202
5.3.2. Описание алгоритма вывода целей при эксплуатации КСЗ 208
5.4. Компьютерная поддержка цикла оперативного управления безопасностью ИС 211
5.4.1. Задачи блока восстановления работоспособности ресурсов ИС с остановкой бизнес-процесса (блок В2) 212
5.4.2. Задачи блока восстановления работоспособности ресурсов ИС без остановки бизнес-процесса (блок В1) 217
Выводы по 5-й главе 217
Заключение 219
Литература 223
Приложение 1
- Референсность целей, критериев и управляющих параметров (защитных механизмов) системы защиты ИС
- Типы компьютерных систем управления и их задачи
- Классы {Бизнес-модель}, {KS}, {Риски}
- Компьютерный мониторинг состояния среды бизнес-процессов при эксплуатации КСЗ [123]
Введение к работе
Актуальность. Защита информационных технологий, реализованных в виде информационных систем (ИС), в настоящее время становится одной из критических проблем. Она требует системного подхода к организации защиты, целостного систематизированного представления об объекте защиты, комплексного непрерывного управления информационной безопасностью (ИБ) ИС в интересах предприятия. Однако существующая практика разработки систем защиты, которые должны обеспечивать безопасность ИС, основана на том, что комплекс защитных мер выбирается исходя из возможных потенциально-опасных угроз (атак), свойственных используемой ИС (на основе типизированных списков уязвимостей и неформализованных представлений нарушителя) и соображений приемлемости ущерба (риска).
Развитие существующего подхода видится в более комплексном и системном взгляде на организацию защиты посредством решения следующих задач: выборе средств защиты (СЗ) с учетом архитектурно-функциональной специфики ИС, т.е. ориентироваться на обеспечение безопасности ИС, а не на противодействие угрозам; введение для системы защиты целевой функции, измеряющей безопасность; обеспечения и контроля заданного уровня безопасности процессов, происходящих в ИС; формализованного представления ИС как объекта защиты, на основе которого можно было бы построить технологию выбора защитных средств и механизмов с учетом функциональных особенностей компонент ИС. Эффективность методологической базы защиты информационных технологий предприятий связана с рациональной организацией управления жизненным циклом (ЖЦ) системы защиты, как основы для построения компьютерной системы поддержки управления безопасностью информационных систем. Сегодня ИС и системы защиты разрабатываются разными специалистами. Инструментальные средства и технологии, которые активно используются в практике проектирования ИС, не содержат поддержки решений по безопасности, т.к. последние напрямую не влияют на выполнение основных функций ИС. Фактически, система защиты достраивается к уже спроектированной ИС. В результате такие наложенные средства защиты могут контролировать только результат процесса функционирования ИС, но не могут обеспечить контроль и защиту самого процесса.
Обобщение характера названных задач определило необходимость создания методологических положений, которые позволили бы придать системность, органичность и законченность процессу проектирования и сопровождения защиты ИС.
В работе предлагается «бизнес-процессный» подход, позволяющий встроить вопросы защиты корпоративной информационной системы в современную методологию управления ИT-средой в интересах предприятия. В результате многие вопросы, связанные с определением необходимого уровня безопасности информационных ресурсов, оценкой величины ущерба от вторжений, планированием достаточности средств защиты решаются на качественно другом уровне. Важным фактором, влияющим на эффективность управления средствами защиты, является отсутствие прямых доходов от их использования. Поэтому степень защищенности данных, обрабатываемых информационными системами, и, следовательно, расходы на поддержание этого обеспечения обычно стараются соразмерить с их ценностью (экономической, государственной, военной и т.п.) и рисками потери этой ценности. Эта ценность не всегда определяется в денежном выражении. Поэтому сопоставление расходов на информационную безопасность с ценностью охраняемых данных является нетривиальной и весьма актуальной задачей. Рассмотрение вопросов защиты с точки зрения интересов бизнес-процессов позволит использовать методы, существующие в теории управления предприятием, для оценки и сопоставления возможного ущерба с затратами на безопасность.
Базовым инструментом предлагаемого подхода является методология открытых систем (функциональной стандартизации), основывающаяся на унифицированном представлении информационной системы., которое дает возможность совместить характеристики жизненного цикла (ЖЦ) системы защиты и жизненного цикла ИС.
Разработанный подход является методологической базой для непрерывного управления безопасностью ИС в течение жизненного цикла системы защиты, которое предлагается строить на основе:
-
Представления ИС и системы защиты как единого целого;
-
Интеграции в единый процесс технологий сбора и анализа данных о состоянии защищаемого объекта, планирования и контроля за функционированием средств защиты, восстановления работоспособности объекта защиты после несанкционированных вторжений.
-
Формализации методов формирования и принятия решений, их оценки с учетом субъективных предпочтений лиц, принимающих решения (ЛПР).
Трудность задачи заключается в отсутствии формализмов, описывающих такие слабо формализуемые понятия процесса проектирования системы защиты, как качество информационной безопасности, угроза, возможности злоумышленника, механизмы и объект защиты, поэтому сегодня выбор защитных средств производится вручную. Разработка компьютерных систем поддержки проектированием систем защиты и ее управлением в течение ЖЦ является весьма актуальной проблемой.
Указанные факторы определили направление диссертационного исследования, заключающегося в разработке методологических положений обеспечения безопасности ИС на основе бизнес-процессного подхода, моделей и алгоритмов управления ЖЦ комплексной системы защиты (КСЗ) от процедур поддержки принятия решений при формировании требований к КСЗ до ее сопровождения в рамках предлагаемого подхода.
Степень разработанности темы на концептуальном уровне является полной, что подтвер-ждается тем, что разработаны не только методологические основы проектирования и управления безопасностью ИС, но и их поддержка в виде модельно-алгоритмического обеспечения.
Целью диссертационной работы является разработка методологических основ, моделей и алгоритмов создания компьютерных систем управления безопасностью информационных комплексов, в том числе, концептуального проектирования комплексной системы защиты, принципов создания защищенных ИС с учетом их функционального назначения.
Основными задачами работы являются:
А). Разработка и исследование принципов и положений защиты информационных систем с учетом их функционального назначения (бизнес-процессный подход), а также принципов проектирования программных средств, обеспечивающих безопасность вычислительных комплексов.
Б). Развитие функциональной логической (референсной) модели открытой среды в части вариантов конкретизации ее компоненты защиты, что позволит совместить ЖЦ ИС и ее защиты и явится основой для концептуального и детального проектирования системы защиты.
В). Разработка комплекса моделей и алгоритмов принятия решений для компьютерного управления безопасностью ИС в течение ЖЦ системы защиты ИС в том числе:
1. поддержки принятия решений при формировании требований к системе защиты:
компьютерное формирование целевых векторов безопасности для объекта защиты на основе оценок значимости информационных ресурсов и угроз среды ИС,
компьютерный выбор различных стратегий защиты (политики безопасности), задающих условия выбора вариантов системы защиты;
2.поддержки принятия решений при проектировании системы защиты:
компьютерный выбор рациональных вариантов системы защиты в соответствии с вариантами конкретизации защитной компоненты модели открытой среды и стратегией защиты,
компьютерное прогнозирование развития атаки и осуществление апробации вариантов системы защиты на списке возможных угроз (сценарный анализ вариантов);
3. принятия решений при эксплуатации/сопровождении системы защиты:
идентификация и оценка целей нарушителя, фазы атаки и возможных последствий атаки для бизнес-процессов с целью определения режима восстановления бизнес-процессов;
прогноз развития атаки с целью контроля состояния среды;
выявление ситуаций, когда необходима модификация системы защиты;
определение параметров оперативного реагирования для сдерживания атаки, ликвидации ее следов, восстановления ресурсов.
Г). Разработка формализованного представления понятий предметной области «проектирование систем защиты ИС», которое позволяет автоматизировать процесс управления ЖЦ системы защиты.
Д). Разработка функциональной архитектуры системы поддержки управления безопасностью (СПУБ), а также итерационного алгоритма функционирования СПУБ на протяжении ЖЦ системы защиты.
Методы исследования. В процессе исследования использовались методы инженерии и представления знаний, поиска и принятия решений, теории выбора и многокритериальной оптимизации, структурного и системного анализа.
Объектом исследования является безопасность защищаемых информационных систем.
Предметом исследования являются модели, компьютерные методы и алгоритмы обеспечения безопасности информационных систем на протяжении их жизненного цикла.
Научная новизна результатов:
А). Разработаны принципы и положения бизнес-процессного подхода к защите информационных систем, на основе которых представлена методология проектирования программных комплексов управления безопасностью информационных систем.
-
Предложен подход, в рамках которого целевым защищаемым активом являются бизнес-процессы предприятия и их непрерывное функционирование с точки зрения угроз информационной безопасности. ИС, как объект защиты, является средством реализации автоматизированных бизнес-процессов предприятия. Поэтому защиту предложено строить исходя из интересов функционирования этого актива. Это дает возможность: рассматривать организацию безопасности информационной системы комплексно с учетом ее архитектурно-функциональных особенностей; оценить достаточность планируемых к использованию механизмов и средств защиты; определить метрики и целевой уровень безопасности для защищаемого актива; соотнести жизненные циклы ИС и системы ее защиты; оценить ущерб вследствие нарушения безопасности актива.
-
Предложен вид целевой функции системы защиты в виде основных свойств безопасности (конфиденциальности, целостности, доступности и т.п.), которые могут быть измерены в лингвистических шкалах.
-
Предложено использовать для представления ИС функциональную референсную модель открытой среды, что позволяет рассматривать ИС а) как систему, интегрирующую функциональность нескольких аспектов информационной технологии, в частности: прикладную, административную, защитную, б) как единый объект защиты. Единое представление объекта защиты является методологической основой совмещения ЖЦ ИС и системы ее защиты, что позволяет рассматривать проектирование ИС и системы ее защиты как органичный процесс, учитывающий функциональные особенности и взаимосвязи обеих систем.
Б). Разработаны варианты конкретизации модели открытых систем стандарта ISO/IEC TR 14252 (в части защитной компоненты), которые создают основу для концептуального и детального проектирования системы защиты. Разработана структурная процессная модель, которая позволяет формировать концептуальное (межкатегорийное в смысле указанного стандарта) представление системы защиты, и описана связь между бизнес-процессами предприятия и процессами защиты.
В). Разработаны процедуры и алгоритмы поддержки принятия решений при формировании концептуального представления системы защиты в том числе:
1. Модель влияния факторов безопасности, отражающая генеральные стратегии политики безопасности, которые определяют критерии рационального выбора вариантов системы защиты.
2. Процедуры формирования целей безопасности (требований) на основе алгоритмов оценок ценности бизнес-процессов и выбора рациональных вариантов проектируемой системы защиты в соответствии с генеральными стратегиями, целями безопасности и межкатегорийным представлением системы защиты.
3. Алгоритм сценарного анализа на основе прогноза целей нарушителя и развития атаки для компьютерной апробации вариантов системы защиты
Г). Разработаны процедуры и алгоритмы поддержки принятия решений при эксплуатации/сопровождении системы защиты, в том числе для:
1. Анализа инцидента безопасности (атаки) с целью выявления режима и очередности восстановления бизнес-процессов: прогнозирование целей нарушителя, оценка возможности их реализации и выявление фазы атаки, идентификация нарушенного критерия безопасности и оценка серьезности нарушений.
2. Анализа ситуации с целью принятия решения о необходимости модификации системы защиты.
3. Определения параметров оперативного реагирования для решения задач сдерживания атаки, ликвидации ее следов, восстановления ресурсов.
Д). Предложен комплекс семантических моделей, представляющих концептуальную основу баз знаний и данных факторов, связанных с информационным обеспечением разработки и сопровождения системы защиты.
Е). Разработана функциональная архитектура программного обеспечения системы поддержки управления безопасностью (СПУБ) информационных систем, которая включает: 1) инструментальное средство в виде системы поддержки принятия решений (СППР) при проектировании комплексной системы защиты (КСЗ), 2) целевые компоненты: комплексная система защиты, обеспечивающая безопасность ИС, система управления (СУ) комплексной системой защиты при ее эксплуатации и сопровождении, система мониторинга (СМ) функционирования бизнес-процессов, база данных и знаний, система администрирования компонентами СПУБ.
Представлен итерационный алгоритм функционирования компонент СПУБ, который осуществляет непрерывное управление безопасностью ИС посредством процедур поддержки процессов ЖЦ системы защиты.
Положениями, выносимыми на защиту являются:
-
Методологические принципы бизнес-процессного подхода к обеспечению безопасности информационных систем с учетом их функционального назначения, включая модели формирования комплекса средств противодействия нарушениям безопасности ИС.
-
Методологические основы концептуального проектирования программных систем непрерывного управления безопасностью ИС, включая модели и процедуры создания и сопровождения комплексов средств защиты ИС.
-
Компьютерные модели и алгоритмы поддержки принятия решений для управления безопасностью ИС в течение всего ЖЦ системы ее защиты.
Достоверность. Достоверность научных положений и результатов, полученных в работе, обосновывается анализом разработанных методов и алгоритмов, непротиворечивостью современным представлениям в области обеспечения безопасности ИС, систематизацией и развитием в части: использования апробированных подходов в области поддержки принятия решений, широтой применения семантических и концептуальных моделей, многолетним опытом модельных представлений ИС, а также результатами практического использования предложенных в диссертационной работе моделей, алгоритмов и механизмов.
Теоретическая и практическая ценность. Полученные в диссертационной работе результаты позволяют:
-
-
Внести существенный вклад в решение важной народнохозяйственной проблемы создания компьютерных технологий поддержки управления безопасностью информационных систем.
-
Разработать методологические основы создания защищенных ИС.
-
Разработать ряд теоретических положений, развивающих теорию управления безопасностью ИС.
-
Разработанные в работе методологии и модели использованы при создании защищенной ИС в Пенсионом фонде РФ.
-
Полученные результаты легли в основу учебного курса по основам проектиро-вания систем защиты базовой кафедры №252 компьютерной безопасности МГТУ МИРЭА.
Диссертационная работа выполнена в рамках плановой тематики Института проблем управления им. В.А. Трапезникова РАН. Часть результатов диссертации получена в рамках НИР, выполнявшихся в Академии криптографии РФ (в интересах ФСБ России).
Апробация работы. Основные положения и результаты диссертационной работы докладывались и представлялись на следующих конференциях: IV Российской научно-методической конференции «Совершенствование подготовки IT-специалистов по направлению «Прикладная информатика» для инновационной экономики» (Москва, 2008), XII научно-практической конференции «Реинжиниринг бизнес-процессов на основе современных информационных технологий» (Москва, 2009), международных научно-практических конференций «Интеллектуальные системы» (AIS’09) и “Интеллектуальные САПР” (CAD-2009), (Дивноморск, 2009), 3-й международной конференции «Управление развитием крупномасштабных систем» (Москва, 2009), международной научно-практической мультиконференции «Управление большими системами-2009» (Москва, 2009), научной сессии НИЯУ МИФИ (Москва,2010), XIII научно-практической конференции «Реинжиниринг бизнес-процессов на основе современных информационных технологий» (Москва, 2010), международных научно-практических конференций «Интеллектуальные системы» (AIS’10) (Дивноморск, 2010), 12-й Национальной конференции по искусственному интеллекту с международным участием (Тверь, 2010), XIV научно-практической конференции «Реинжиниринг бизнес-процессов на основе современных информационных технологий» (Москва, 2011), 5-й международной конференции «Управление развитием крупномасштабных систем» (Москва, 2011), конгрессе по интеллектуальным системам и информационным технологиям, (Дивноморск, 2011), Международной научно-практической конференции «Управление большими системами 2011» (Москва, 2011), Конгрессе по интеллектуальным системам и информационным технологиям, (Дивноморск, 2012), XVIII Всероссийской школе-коллоквиуму по стохастическим методам и XII Всероссийскому симпозиуму по прикладной и промышленной математике (Сочи, 2011), IXX Всероссийской школе-коллоквиуму по стохастическим методам и XIII Всероссийскому симпозиуму по прикладной и промышленной математике (Сочи, 2012), 7-й Международной научно-практической конференции «Интегрированные модели и мягкие вычисления в искусственном интеллекте» (Коломна, 2013), 3-й научно-практической конференции «Актуальные проблемы системной и программной инженерии», (Москва, 2013).
Публикации. Основные результаты исследований по теме диссертации содержатся в 34 публикациях, в том числе 16 публикаций в журналах перечня Высшей аттестационной комиссии.
Структура и объем диссертации. Работа состоит из введения, пяти глав, заключения, трех приложений, списка литературы из 216 наименований.
Референсность целей, критериев и управляющих параметров (защитных механизмов) системы защиты ИС
Понятие «безопасность» предполагает несколько смыслов. Так в 184-ФЗ «О техническом регулировании» безопасность связьтается с защитой жизни и здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества [75]. В Доктрине ИБ РФ [63] вводится понятие «информационная безопасность» (ИБ), оно трактуется как состояние защищенности национальных интересов в информационной сфере, включающее защиту интересов, личности, организаций, общества, государства. [41,153] определяет ИБ применительно к информационным технологиям как безопасное состояние информации, достигаемое за счет обеспечения определенных свойств, которые предполагают защищенность от утечки, хищения, утраты, несанкционированного уничтожения, копирования, искажения, модификации (подделки), блокирования и т.п.
Более полное определение дается в [32], где информационная безопасность понимается как защищенность информации, а также поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий искусственного или естественного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе их владельцам и пользователям.
То есть в рамках ИБ сохранности подлежат не только собственно данные, но также вычислительная и аппаратная среда, реализующая операции над данными, т.е. информационная система (ИС) в целом. Кроме того, в качестве угроз рассматриваются угрозы не только предумышленные, но и случайного характера.
Однако некоторые авторы, например, [99] проводят грань между информационной безопасностью, связанной с защитой от предумышленных, негативных воздействий на информационные ресурсы систем, и функциональной безопасностью (ФБ), обусловленной отказовыми ситуациями, когда потеря работоспособности как аппаратной, так и программной части ИС связана с проявлением непредумышленных случайных дефектов и аномалий. Такими дестабилизирующими факторами могут быть [64,99,133,141]: - технические отказы внешней аппаратуры и искажения исходной информации от объектов внешней среды и от пользователей систем и обработанной информации; - случайные сбои и физические разрушения элементов и компонентов аппаратных средств вычислительных комплексов и средств телекоммуникации; - дефекты и ошибки в кодах программ обработки информации и в данных; - пробелы и недостатки в средствах обнаружения опасных отказов и оперативного восстановления работоспособного состояния систем, программ и данных.
Такое деление представляется вполне уместным, в дальнейшем автор придерживается именно этой дифференциации, а диссертационные исследования лежат в области ИБ, т.е. факторов, связанных с предумышленными негативными воздействиями.
Кроме того, следует различать понятия «безопасность» и «защита информации». В отличие от безопасности термин «защита» трактуется на основании [50]:
Определение. Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Защита информации представляет собой принятие правовых, административных, организационных и технических мер, направленных на [73]: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.
Предметные области ИБ и ФБ являются основой таких областей знаний как «безопасность информации», «безопасность сетей», «компьютерная безопасность». При этом, «безопасность сетей» предполагает дифференциацию на «безопасность замкнутых сетей» и «безопасность открытых сетей». В [93] подчеркивалось, что термин «безопасность информации» определяет отношение к уровню критичности (секретности) информации для замкнутых систем. Но сети связи общего пользования (например, Интернет) предназначены для передачи любой информации, поэтому к такой сети понятие категорийности информации неприменимо и добиться безопасности онлайновых транзакций невозможно. В открытых сетях речь должна идти об обеспечении постоянной готовности к передаче информации. И эту сетевую готовность принято идентифицировать с сетевой защищенностью. Поэтому средства связи должны проходить обязательную сертификацию, а сети связи аттестацию по требованиям к «безопасности сетей», но никак не к «безопасности информации» или «защите информации».
Компьютерная безопасность предполагает организацию защиты как для данных хранимых, обрабатываемых и передаваемых системой, так и для программного и аппаратного обеспечения, реализующих указанные операций. Областью исследований диссертационной работы являются такие понятия компьютерной безопасности, как вопросы управления безопасным состоянием информационной системы при осуществлении преднамеренных негативных воздействий.
Информация - одно из базовых и поэтому точно не определяемых понятий современной науки. Н. Винер говорил, что «информация - это информация, а не вещество и не энергия».
В [146] дается следующее определение: «Информация - это набор данных (сведений), несущий содержательный характер, являющийся результатом интеллектуальной деятельности человека или группы людей, обладающий определенной ценностью для потребителя этих сведений в свете возможностей снижения неопределенности при принятии решений».
Информация имеет ряд особенностей: информация хранится и передается на материальных и электронных носителях; информация тиражируема, доступна и демократична - будучи раз произведенной, она доступна широкому кругу людей; в [79] утверждается, что информация как и любой другой производственный ресурс является объектом собственности (property), в отличие от знаний, которые могут быть только объектом владения (possession). Как объект собственности информация покупается и продается; информация имеет ценность, которая определяется степенью полезности данной информации в данный момент для ее владельца. Ценность информации меняется во времени. В [69] приводится следующая зависимость ценности информации от времени: C(t) = С0е 2 3,/", где Со - ценность информации в момент ее возникновения (получения), t - время от момента возникновения до момента определения стоимости, ц - время от момента возникновения до момента ее устаревания, которое колеблется в очень широких пределах и определяется конкретной ситуацией: информация о положении автомобиля в пространстве меняется за секунды, а закон всемирного тяготения вечен;
Типы компьютерных систем управления и их задачи
Поэтому на сегодняшний день ИБ не предлагает каких-либо формализмов, описывающих как процесс проектирования, так и все его составляющие. Поэтому и разработка систем защиты, ПБ, программ безопасности производится вручную. Трудно вести речь о какой бы то ни бьшо автоматизации, если процесс проектирования не только не формализован, но и практически никак не структурирован.
В диссертационной работе предлагается другой подход, основанный на интеграции классической схемы выбора СЗ с функционально универсальным представлением ИС и процессном подходе. Схема задачи обеспечения безопасности ресурсов ИС Таким образом, в традиционную схему представления (проектирования) системы защиты, которая отражает идею противодействия атак и механизмов защиты, были введены следующие факторы:
А). Объект защиты - ИС, ассоциируемая с совокупностью бизнес-процессов {Вр}, образующих бизнес-модель предприятия {ВМ}. Именно ее безопасноспое функционирование и надо обеспечить.
Б). Целевая функция защиты, представляющая собой вектор основных РФБ {KS} = {С, D, К} для любой компоненты ИС, и нарушение которой является стратегической целью любой атаки. Для измерения целевой функции, т.е. для определения уровня безопасности был использован процессный подход: поскольку ИС является реализацией тех или иных бизнес-процессов предприятия, а именно бизнес-процессы и их результаты представляют действительную ценность для бизнеса, то значимость бизнес-процессов должна определять и уровень безопасности ИС, т.е. целевая функция задается уровнями оценочных критериев К, С, D относительно бизнес-процессов предприятия [106]. В). Защитные механизмы Мх, которые являются управляющими параметрами системы. Г). Внешними воздействиями, нарушающими целевую функцию, являются атаки, т.е. реализуемые угрозы Y. Они определяются вероятностями реализации уязвимостей программно-аппаратного обеспечения ИС, а также вероятностью возникновения, характеризуемой наличием нарушителя, который смог воспользоваться данной уязвимостью. Тогда система защиты представляется кортежем следующих объектов: S ={{03 MC BM}, JKS}, {Y}, {МХ}}. При проектировании системы 5 необходимо четко понимать, что внешнее воздействие в виде реализуемых угроз (атак) Y имеет целью нарушить свойства безопасности объекта защиты {KS} = {С, D,K},a Мх, реализуемые комплексом средств защиты (СЗ), выбираются так, чтобы обеспечивать целевую функцию защиты (рисунокі.10). 1. Вначале следует определить целевые установки для системы S исходя из интересов безопасного функционирования бизнес-процессов. Уровень целевого вектора {KS} = {С, D, К} назначается исходя из ценности информационных потоков бизнес-процесса с учетом оценок актуальных угроз, список которых формируется экспертами. Этот список проходит процедуру согласования экспертами и ЛПР. Методы согласования хорошо известны [167-170], однако в данном случае целесообразнее использовать, например, процедуру единогласия или большинства голосов, хотя ЛПР может принять и волевое решение, причем как по каждой угрозе, так и по списку в целом. 2. Далее выбираются Мх, а затем и комплекс защитных средств, обеспечивающих целевую функцию {KS} - {С, D, К}. 3. На третьем этапе, для выбранного варианта S , т.е. комплекса СЗ, отвечающих заданным целям {KS} = {С, D, К}, моделируются сценарии, апробирующие 5 на тех потенциально-опасных угрозах, которые вошли в список. 4. В результате сценарного анализа S тестируется на эффективность. На самом деле, ЛПР получает ответ на вопрос о приемлемости рисков с его точки зрения. Начало
Анализ бизнес-процессов и определение целевой функции
Далее возникает задача представить ИС, т.е. объект защиты, в виде некоторой модели, причем модель должна в полной мере отражать функциональность ИС, т.е. должна бьпъ универсальной, и позволять декомпозировать основные цели по функциональным группам ОЗ.
В [42-44] ИС определяется как набор информационно-технологических ресурсов, предоставляющий услуги по одному или нескольким интерфейсам. С позиций бизнеса ИС, посредством своих прикладных приложений (Application), предоставляет автоматизированные бизнес-услуги, которые и составляют суть бизнес-процесса.
Каждый бизнес-процесс можно представить двумя составляющими: составом взаимосвязанных функций и внешних сущностей, которые определяют смысл и результат с точки зрения бизнеса, и исполнительную технологическую составляющую. Поэтому бизнес-процесс и ИС как средство его реализации следует рассматривать в единстве.
Определение . Программно-аппаратную составляющую, в которой исполняются функции бизнес-процесса, назовем средой бизнес-процесса.
Среда бизнес-процесса состоит из приложения (прикладное программное средство), которые реализуют функции бизнес-процесса, и прикладной платформы предназначенной для осуществления функционирования приложения. Указанные компоненты в [200] трактуются следующим образом.
Определение. Прикладное программное средство (application software): программное средство, предназначенное для приложения и состоящее из программ, данных, и документации.
Определение. Прикладная платформа (application platform): набор ресурсов, включая технические и программные средства, который обеспечивает услуги для работы прикладного программного средства. Прикладная платформа предоставляет услуги посредством своих интерфейсов, обеспечивая максимально возможную "прозрачность" конкретных характеристик платформы для прикладного программного средства.
Именно среда бизнес-процесса является носителем уязвимостей и требует организации защиты от информационных угроз. Поэтому возникает необходимость представить среду бизнес-процесса в виде некоторой модели, которая явится основой для моделирования технологий защиты. При этом, бизнес-процессы современного предприятия функционируют на базе интегрированных информационно - телекоммуникационных систем, к которым предъявляются требования открытости.
Классы {Бизнес-модель}, {KS}, {Риски}
Для решения задач управления используются компьютерные технологии, реализованные в виде систем поддержки управления. Сейчас системы поддержки управления разрабатываются в различных областях. Так, в [152] описана система, осуществляющая компьютерную поддержку управления в чрезвычайных ситуациях, обусловленных биологическими эпидемиями, а в [85] -при радиационном загрязнении среды обитания. Более того, подобные компьютерные системы находят применение даже в таких областях как управление информационно-аналитической деятельностью [78] и общественным мнением [172].
Таксономия таких систем по разным основаниям описана в [166]. Она включает три класса систем: системы поддержки принятий решений (СППР), принятия решений (СПР) и системы управления (СУ). Все три вида систем должны учитывать предпочтения, оценки и интересы руководителей, первый тип систем учитывает их как в процессе разработки и настройки алгоритмов, так и в динамике управления. А во втором и третьем случаях - только в процессе разработки и настройки.
В нашем случае речь идет о компьютерной системе поддержки управления безопасностью (СПУБ) ИС (при этом напомним, что безопасность рассматривается в контексте программно-аппаратных средств). Причем при создании КСЗ она должна исполнять функции системы поддержки принятия решений (СППР), а при эксплуатации и сопровождении -системы управления (СУ) защитой и восстановлением.
Систему поддержки принятия решений (СППР) можно определить как человеко-машинную систему, позволяющую руководителям использовать свои знания, опыт и интересы, объективные и субъективные модели, оценки и данные для реализации компьютерных методов выработки решений при разработке КСЗ [156]. Задачи, решаемые СППР, следующие: 1. Выявление приоритетов и предпочтений руководителя, что снимает неопределенность и неформализуемость ситуации; 2. Выявление и формирование целей создания системы защиты, т.е требований к КСЗ; 3. Помощь руководителю при анализе объективной составляющей, т.е. в понимании и оценке сложившейся ситуации (анализ результатов мониторинга) 4. Оценку возможных альтернатив, исходя из предпочтений ЛПР и ограничений, накладываемых сложившейся обстановкой; 5. Анализ последствий (прогноз) результатов принимаемых решений, т.е. тестиро-вание вариантов КСЗ на потенциально-опасных угрозах, характерных для данной ИС; 6. Согласование принимаемых групповых решений; 7. Выбор лучшего, с точки зрения руководителя, варианта КСЗ.
Стадии эксплуатации и сопровождения КСЗ характеризуются реальным временем, необходимостью формирования управляющих решений при возникновении инцидента безопасности, осуществлении воздействий, контроля их эффективности. Поэтому здесь СПУБ должна проявить себя как система управления (СУ) восстановлением работоспособности объекта защиты и его безопасности. Ее задачи, на основании [170], заключаются в следующем: Формирование оперативных решений, в ходе которых выполняются: анализ результатов мониторинга состояния ресурсов ИС; формирование характера и величины оперативных воздействий, и их реализация; определение эффективности влияния оперативных воздействий на реализацию выбранной стратегии; оценка успешности стратегии в достижении поставленной цели и обеспечении мер безопасности; изменение стратегии в случае невозможности достижения цели посредством выбранной стратегии, а также возникновении угрозы безопасности ресурсам ИС; изменение цели в случае изменения обстановки так, что достижение поставленной ранее цели становится нереальным.
Решение этих задач осуществляется алгоритмами, которые реализуются приложениями компьютерной системы управления в соответствии с критериями, согласованными руководителями и экспертами и введенными в систему.
Компьютерная поддержка процесса принятия решений в режиме управления или в режиме поддержки, так или иначе, основана на формализации методов получения исходных и промежуточных оценок, и алгоритмизации самого процесса выработки решений. При этом, как подчеркивается в [170], «когда речь идет о компьютерных управляющих системах, т.е. об использовании формальных оценок и расчетов, роль личных качеств специалиста (эксперта): его интеллект, субъективные оценки, эрудиция, умение находить решение и т.п. - не уменьшается, а, может быть, даже возрастает». 2.3 Компьютерная система поддержки управления безопасностью ИС
Функциональный состав СПУБ определяется характером задач ЖЦ КСЗ и включает две принципиально различные компоненты: инструментальную, в виде системы поддержки принятия решений при проектировании КСЗ, и целевую. К целевым относятся компоненты, осуществляющие управленческие и прикладные функции: оперативное управление при эксплуатации системы защиты; хранение данных и знаний в виде БД и БЗ; администрирование всеми указанными должно приниматься на основе сбора и анализа данных, характеризующих окружающую обстановку [17,27]. Поэтому в состав СПУБ (рисунок 2.4) входят следующие программные средства: 1. Система мониторинга осуществляет сбор данных о функционировании объекта управления и окружающей среде, их анализ с точки зрения выявления нарушений (инцидента) безопасности, контроля управляющих воздействий и запись данных в соответствующие базы. Эти данные мониторинга и анализа нужны для принятия решений и в СППР, и в СУ. 2. Система поддержки принятия решений при проектировании КСЗ определяет цели и критерии безопасности, осуществляет генерацию и оценку вариантов КСЗ, т.е. стратегий реализации целей, и предлагает эти варианты ЛПР и экспертам для согласования и окончательного выбора. 3. Система управления осуществляет оперативные воздействия в случае, если произошел инцидент безопасности, зафиксированный системой мониторинга. Эти воздействия заключаются в сдерживании развития инцидента, его ликвидации, восстановлении функционирования бизнес-процессов, инициации процесса перепроектирования КСЗ. 4. Информационное обеспечение СПУБ включает БД и БЗ информацию долговременного и оперативного характера: накопленные данные об инцидентах безопасности и репозиторий использованных вариантов КСЗ, состоянии объекта управления, мерам и средствам защиты и т.п. 5. Система администрирования, осуществляет взаимодействие, контроль и управление всеми составными компонентами СПУБ. СПУБ производит управление безопасностью сложного объекта, состоящего из двух систем: собственно информационной (плоскости ИС и А ) и КСЗ (плоскость 3 ), которая осуществляет защиту компонентами. Кроме того, любое управленческое решение обязательно ресурсов как ИС, так и самое себя от негативных воздействий. Особенность объекта проявляется в том, что эти две системы находятся не
Компьютерный мониторинг состояния среды бизнес-процессов при эксплуатации КСЗ [123]
Для оценки вариантов могут быть использованы различные модели и алгоритмы [36,84,97,188,203]. Собственно цикл проектирования КСЗ заключается в реализации одного из указанных режимов. Блоки 4,7. Формирования и оценка факторов модели угроз и апробация вариантов КСЗ на актуальных угрозах (сценарный анализ).
Угроза ИБ — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения свойств информационной безопасности -конфиденциальности, доступности и/или целостности информационных активов организации [46,51,50,160,]. Угрозы делятся на преднамеренные и непреднамеренные.
В контексте данной работы нас будут интересовать атаки как попытка реализации преднамеренной угрозы. Возможность наступления (возникновения) атаки зависит от наличия злоумышленника (лица или процесса), проводящего атаку. Из непреднамеренных угроз -уязвимости ресурсов, которые определяют возможность реализации атаки. Защита же от остальных непреднамеренных угроз, как правило, регламентируется инструкциями, разработанными и утвержденными с учетом особенностей эксплуатации информационных систем и действующей нормативной базы. Таким образом, общая модель угроз включает модель уязвимостеи МУ бизнес-процесса, модель нарушителя МН и модель атак МА. Семантическое представление этих моделей представлено в главе 3.
Оценить степень опасности и весовые коэффициенты каждой угрозы весьма затруднительно из-за высокой латентности их проявлений и отсутствия вразумительной статистики по этому вопросу. Поэтому для оценки и ранжирования угроз (уязвимостеи среды бизнес-процессов, возможностей нарушителей для данной ИС, списка возможных атак) в диссертации использовались методики экспертных оценок на основе [47,49,137,202]. Алгоритмы приведены в главе 4.
Список угроз фактически является множеством сценариев для тестирования качества сгенерированных вариантов КСЗ. Этот блок осуществляет следующие действия:
1. Выявление данных и занесение их в БЗ модели угроз. Онтологические классы уязвимостеи, возможностей нарушителя, потенциально-опасных атак для этой модели разработаны и представлены в главе 3.
2. Прогноз и оценка осуществимости атаки (стратегии нападения) на плоскости ИС . Для этого в главах 4,5 представлены: алгоритм развития атаки по «клеткам», использующий метод порождающей грамматики, алгоритм идентификации целей нарушителя и оценки их осуществимости
3. Прогноз того, насколько выбранные защитные механизмы и средства смогут противостоять атаке. В главе 4,5 описаны алгоритмы, основанные на сравнении стойкости Мх и силы атаки в каждой р-й «клетке» модели. Блок 8. Окончательный выбор варианта КСЗ Цель этого блока - уменьшить вероятность ошибок и неточностей в субъективных предпочтениях руководителей и экспертов, допущенных ими при формировании решений. Процесс выбора циклический, осуществляется в диалоге между ЛПР и СППР. Заключается в следующем: 1. ЛПР предлагается список вариантов КСЗ, сгенерированных и отранжированных компьютерной системой в соответствии со списком критериальных векторов {KS}, {KPZ} и на основании определенной процедуры ранжировки. При этом выводятся только те варианты, для которых \{ KS } - {KS }\ є, где {KS}- требуемый уровень безопасности, {KS}- уровень безопасности варианта, полученный в ходе проектирования. Если ЛПР выбирает один из вариантов - алгоритм окончен, иначе алгоритм продолжается. 2. ЛПР может произвести следующие действия: а. запросить вывести характеристики варианта: оценочные критерии, их веса и базовые шкалы - изменить их, перейти к п.1, b. поменять процедуру ранжировки и перейти к п. 1, c. поменять и процедуру ранжировки и характеристики варианта и перейти к п. 1 Блоки 9, 10. Согласование и ранжирование решений. Идея согласования каких бы то ни было альтернатив для выбора, будь то цели проектирования, варианты стратегий {Str}, веса критериев, потенциальные угрозы заключается в том, чтобы участникам найти некое компромиссное решение.
Похожие диссертации на Компьютерные модели и алгоритмы управления безопасностью информационных систем
-