Модель оценки риска компьютерных систем по базовым и обобщенным показателям уязвимости Жариков Николай Иванович

Содержание к диссертации

Введение

1. Постановка задачи 11

1.1. Обзор методов оценки риска 11

1.2. Терминология, определения, обозначения и исходные допущения 15

1.3. Системная модель защиты информации в КС 17

1.4. Категории риска 23

2. Модель оценки риска КС при НЦИ и НПИ 25

2.1. Модели нечетких множеств в применении к нечетким событиям 31

2.2. Связь субъективных вероятностей с нечеткими частотными оценками 43

2.3. Алгоритм получения количественных значений вероятностей по экспертным оценкам 47

2.4. Модели определения значений базовых и обобщенных показателей уязвимости при НЦИ и НПИ 49

3. Методика оценки эффективности ЗИ в КС 54

3.1. Создание экспертной группы 55

3.2. Подготовка исходных данных 55

3.3. Оценка риска 84

3.4. Корректировка системы защиты 86

3.5. Переоценка риска КС 87

4. Пример расчета риска для КС1 88

Заключение 134

Библиографический список использованной литературы . 136

Приложение 1 142

Приложение 2 152

Приложение 3 164

• Обзор методов оценки риска
• Терминология, определения, обозначения и исходные допущения
• Модели нечетких множеств в применении к нечетким событиям
• Создание экспертной группы

Введение к работе

Современная эпоха информационных технологий характеризуется широким внедрением во все сферы жизнедеятельности общества способов и средств автоматизации. В настоящее время в состав практически любой организации, предприятия, воинской части входят объекты информатизации и управления, включающие компьютерные системы. Под компьютерными системами (КС) понимается совокупность аппаратных и программных средств различного уровня и назначения, разного рода носителей информации, собственно данных, а также персонал, обслуживающий перечисленные выше компоненты.

Значительное увеличение объемов информации, обрабатываемой в КС, сосредоточение информации различного уровня конфиденциальности и различной принадлежности в единых базах данных, расширение круга лиц, имеющих доступ к элементам КС, повышение возможности доступа иностранных спецслужб ко всем видам информации и создание предпосылок к коммерческому и промышленному шпионажу выдвигает в число важнейших задачу защиты информации (ЗИ), обрабатываемой автоматизированным способом.

Обеспечение информационной безопасности КС является как важной, так и сложной задачей, стоящей перед участниками всего процесса разработки, эксплуатации и развития объектов информатизации. Решение этой задачи зависит от того, насколько защита, включающая комплекс технических, программных и организационных средств, методов и мероприятий конкретной компьютерной системы, обеспечивает необходимый уровень безопасности обрабатываемой в ней информации. Актуальность обращения к этой проблеме связана с многочисленными фактами, свидетельствующими о возрастающих случаях нарушения информационной безопасности различных КС [2 - 4, 15, 19, 28, 33, 34, 68]. Например, в материалах статьи «Информационная безопасность в фактах и цифрах» [44] приводятся данные о результатах опроса, который был проведен компанией Pricewaterhouse-Coopers в 1998 году в 50 странах мира среди 1600 специалистов в области защиты информации. Структура опроса отражает комплексный подход к созданию эффективной и надежной системы информационной безопасности организации. Вопросы выявляли отношение к реализации нескольких основных этапов обеспечения безопасности, а именно: разработка политики безопасности, выбор технических средств защиты информации, периодический компьютерный аудит, обучение сотрудников. Результаты опроса свидетельствуют, что в 1997 году самой распространенной угрозой были компьютерные вирусы, важнейшим этот тип угрозы назвали 60% опрошенных. В 1991 и 1992 г.г. эта цифра составляла соответственно 22 и 44%. Основная часть угроз по-прежнему исходит от персонала компании (58%). Среди тех, кто мог оценить финансовые потери за прошедшие 12 месяцев, 84% оценивают их в сумму от 1000 до 100 000 дол. О потерях свыше 100 000 дол. сообщили 16% от этого числа. Удивителен тот факт, что более 40% опрошенных компаний не предпринимают никаких мер по периодическому анализу защищенности своих информационных систем. Обучение конечных пользователей считается важной задачей в 44% опрошенных компаний, а обучение технических специалистов новым технологиям в области безопасности -только в 9%. (Данные о том, чего стоили нарушения режима безопасности в 1998 году отражены в статье «Помни о безопасности» [71]). Эксперты приходят к выводу, что происходит постепенная смена приоритетов. Если раньше основное внимание уделялось применению технических средств защиты информации, например межсетевым экранам, то сейчас на первый план выходит управление риском, применение систем адаптивного управления безопасностью [56, 57] и т.п.

В процессе решения задачи обеспечения информационной безопасности неизбежно встают вопросы:

• какую информацию из перечня обрабатываемой в КС необходимо защищать и какой уровень защиты требуется для того или иного вида информации;

• каковы эффективность и соотношение технических и организационных мер, необходимых для достижения цели защиты информации.

Обоснованные ответы на эти вопросы могут быть получены только с помощью соответствующего методического аппарата анализа угроз (оценки риска) безопасности информации и эффективности ЗИ в КС.

Известно [16, 17, 78], что наиболее адекватная и физически ясная оценка может быть получена только тогда, когда в качестве интегрального показателя используют величину ущерба (потерь) вследствие воздействия различных дестабилизирующих факторов (угроз) на безопасность информации. В этом случае можно сравнить опасность угроз, последствия их воздействия и достигаемый уровень безопасности информации в результате ее защиты.

Абсолютно исключить вероятность возникновения чрезвычайных ситуаций, способных повлиять на безопасность компьютерных систем и сетей, невозможно, тем более что это человеко-машинные системы. К тому же, в конце шестидесятых годов была доказана теорема (ее иногда называют теоремой Харрисона) о невозможности решить для общего случая задачу о безопасности произвольной системы защиты при общем задании права на доступ. (Более образно по этому поводу высказались Д. Стенг и С. Мун: «Полная безопасность сети является, по-видимому, неосуществимой мечтой, подобной идее бессмертия...» [78].)

Сверхзадача компьютерной безопасности сводится не просто к защите активного и пассивного сетевого оборудования и программного обеспечения, а к выбору и применению таких средств, методов и мероприятий, которые обеспечивали бы гарантированную безопасность самого предмета защиты - защищаемой информации [11, 12, 24, 42, 46, 59, 60].

При этом целенаправленная организация возможностей, средств, методов и мероприятий, используемых с целью полного или частичного осуществления одной или нескольких функций защиты, должна отвечать основным требованиям, предъявляемым к множеству задач [73, 91, 92]:

• достаточность;

• реализуемость.

Под достаточностью понимается достаточность задач для обеспечения требуемого уровня и эффективности осуществления всех функций защиты из полного их множества, а под реализуемостью - возможность практической реализации имеющимися средствами и методами.

Основным элементом всего процесса построения оптимальной системы защиты является оценка риска, позволяющая оценить опасности, которые могут иметь место на конкретном объекте информатизации и, в связи с этим, предусмотреть превентивные меры для уменьшения вероятности возникновения многих опасностей, а также разработать восстановительные мероприятия, которые могли бы свести к минимуму потери при свершении неблагоприятного события [20, 85].

Такой подход характерен, в частности, для США. Вот, например, какие роль и место оценке риска отводятся в программе безопасности компьютерных систем Министерства энергетики США (DOE).

Программа компьютерной безопасности DOE, которая определена в приказах министерства (DOE 1360.2 - несекретная компьютерная безопасность; DOE 5639.6А - секретная компьютерная безопасность [70]) основывается на государственных законах, нормах и критериях оценки компьютерной системы, определенных в "Оранжевой книге".

В программу компьютерной безопасности DOE для секретной информации входят следующие элементы:

• управление риском;

• требования и руководства;

• структура управления;

• поддержка инфраструктуры;

• план безопасности.

Нетрудно заметить, что оценке риска компьютерных систем придается основополагающее значение и выделяется соответствующее место при реализации программы компьютерной безопасности.

Управление риском включает в себя следующие этапы:

• анализ угроз;

• оценка риска;

• надзор. При анализе угроз:

• используется положение DOE об угрозе (определяет угрозы

информации, обрабатываемой на объектах DOE); • определяются контрмеры по отношению к угрозам;

на объектах определяются локальные угрозы и локальные контрмеры. Оценка риска:

• оценивает риск, используя положение DOE о риске;

• оценка риска DOE;

• объекты добавляют оценку риска, специфичного для объекта.

(Не будем здесь рассматривать подробно другие элементы программы компьютерной безопасности, отметим только, что надзор - как элемент управления риском - включает в себя сертификацию, аккредитацию и периодические проверки - как регулярные проверки системным администратором и официальными лицами объекта, так и представителями DOE).

Что касается оценки риска в отечественной концепции информационной безопасности, то здесь хотелось бы отметить следующее.

Концепция информационной безопасности, отраженная в действующей в настоящее время на территории Российской Федерации нормативно-методической документации, в том числе и в [36 - 39], определяет систему взглядов на проблему информационной безопасности на различных стадиях создания и эксплуатации систем информатизации, а также цели и задачи, основные принципы и правовые основы ее организации и функционирования, ресурсы, подлежащие защите, виды угроз безопасности, основные направления реализации обеспечения информационной безопасности таких систем.

Для достижения основной цели обеспечения информационной безопасности создаваемой защищенной компьютерной системы предотвращение ущерба государственным интересам в результате воздействия на систему различных неблагоприятных факторов - в руководящих документах по обеспечению безопасности информации определены требования, которые должны безусловно выполняться для получения разрешения на обработку информации с различными уровнями конфиденциальности.

Важным фактором при создании системы защиты компьютерных систем и сетей является стоимость реализуемых средств, методов и мероприятий, призванных обеспечить гарантированную безопасность защищаемой информации. Расходы на обеспечение безопасности должны быть также обоснованы, как и другие расходы, например, затраты на приобретение технических и программных средств для систем автоматизированной обработки информации. Здравый смысл (а во многих странах это оценивается вполне конкретно) подсказывает, что стоимость защитных мероприятий всегда должна быть меньше, чем величина потенциальных потерь, от которых эти меры предохраняют.

Например, требования для определенных классов

автоматизированных систем (АС) предусматривают обязательное применение сертифицированных средств защиты [38]. Т.е. оценка защищенности, в принципе, сводится к ответу «да/нет». Такой ответ не содержит информации о достаточно важных характеристиках самой проблемы, связанной с применением сертифицированных средств защиты: 

• насколько целесообразно с экономической точки зрения их применение;

• насколько прозрачна и удобна в применении к конкретной АС сертифицированное средство защиты;

• целесообразно ли устанавливать сертифицированные программные средства защиты на не сертифицированное общесистемное программное обеспечение;

• что делать, если на рынке нет сертифицированных средств защиты, ориентированных на конкретную компьютерную систему, а разработка собственными силами или заказ потребует как времени, так и значительных средств, а решение производственных задач не может ждать столько времени.

В общем случае - применительно к человеко-машинным системам -проблема безопасности решается не путем применения того или иного средства или продукта, а безопасность обеспечивается людьми, участвующими в реализации планов, правил и процедур. И совершенно справедливо утверждение [78], что и безопасную компьютерную систему можно эксплуатировать небезопасным способом, и наоборот -небезопасную систему можно эксплуатировать безопасным способом. Причем, решение этой проблемы должно учитывать всю многомерную природу возможных угроз безопасности компьютерной системе, их вероятность возникновения и влияния на систему, целесообразность, адекватность и эффективность защитных мер [61, 63, 64, 66].

Очевидно, что в общей концепции обеспечения компьютерной безопасности методология оценки риска (или анализа опасностей) компьютерных систем должна сыграть свою положительную роль и являться частью политики безопасности в организации, желающей воплощения этой политики в жизнь. Решение этой задачи является необходимым элементом в общем процессе управления сложными объектами [74, 75, 79, 88].

Некоторые методические подходы к оценке эффективности мер ЗИ по величине ущерба от нарушения безопасности информации рассмотрены в работах Герасименко В. А., Горбатова В. А., Размахнина М. К., Войналовича В. Ю., Мещерякова В. А., Постникова СВ., Швецова В. Н. и др. Однако, до настоящего времени не разработаны отечественные инструментальные средства оценки риска, в полной мере учитывающие влияние угроз безопасности информации на качество функционирования аппаратных и программных средств обработки информации и на качество самой обрабатываемой в КС информации. Такой вывод в ряде публикаций делают специалисты по защите информации. Это связано с недостаточной изученностью самого механизма возникновения ущерба, отсутствием моделей объектов информатизации (ОИ), процессов обработки информации в них, позволяющих оценить влияние угроз не только на эффективность процесса обработки информации, но и на эффективность решения объектом частных функциональных задач, а также на качество и эффективность функционирования объекта в целом. Отсутствуют отработанные, практически применимые механизмы получения вероятностных характеристик дестабилизирующих факторов (ДФ), что делает чрезвычайно трудным решение задачи оценки риска КС с применением традиционных количественных методов оценки, как наиболее наглядных и удобных при анализе системы защиты.

Решение этой проблемы - одна из основных задач, стоящих перед разработчиками ОИ и систем ЗИ для них.

В данной работе с целью получения необходимого инструмента в области безопасности КС для оценки защищенности были проведены исследования возможных подходов, отражающих научно обоснованные принципы и способы оценки риска КС при нарушении целостности и несанкционированном получении информации. Предметом исследования при оценке эффективности защиты КС являлись основные элементы процесса защиты информации в КС, позволяющие обеспечить возможность анализа отношений между объектами защиты, ценностями, угрозами, уязвимыми местами и защитными мероприятиями. Задачей исследовательской работы являлась разработка модели оценки защищенности КС по базовым и обобщенным показателям уязвимости при нарушении целостности и несанкционированном получении информации. Особое внимание уделялось анализу получения экспертных и функциональных оценок, априорных вероятностей, связи субъективных вероятностей с нечеткими частотными оценками, механизму получения количественных показателей вероятностей, а также необходимости и достаточности характеристик безопасности системы защиты. В диссертационной работе решались следующие основные задачи:

• определение общей математической модели ЗИ КС;

• разработка математической модели оценки риска КС;

• анализ моделей нечетких множеств в применении к оценкам ДФ;

• анализ связи субъективных вероятностей с нечеткими частотными оценками и разработка алгоритма получения количественных значений вероятностей по экспертным оценкам;

• получение аналитических моделей определения показателей уязвимости;

• разработка методики анализа эффективности системы ЗИ с использованием оценки риска КС;

• реализация разработанной модели оценки риска КС.

В качестве методов исследований применялись теория множеств, нечеткая логика в применении к нечетким событиям, теория вероятностей и теория системного анализа в рамках адаптации накопленного отечественного и зарубежного опыта обеспечения безопасности компьютерных систем, а также расчеты необходимых параметров по подготовленным для этого программам. Научная новизна исследований заключается в следующем:

• с помощью аппарата теории множеств формализованы основные составляющие системной модели ЗИ КС и на их основе определена математическая модель оценки риска КС;

• с помощью аппарата нечетких множеств проанализирована связь субъективных вероятностей с нечеткими частотными оценками и на этой основе предложен новый алгоритм расчета количественных значений вероятностей на базе качественных показателей;

• путем объединения преимуществ системного и концептуального подходов к защите информации в КС разработана обобщенная методика анализа эффективности системы защиты на базе оценки риска КС.

Практическая ценность работы заключается в следующем:

• разработан и практически реализован механизм получения количественных вероятностных характеристик из качественных, что позволяет проводить анализ опасностей при отсутствии необходимых статистических исходных данных;

• предложена практически применимая модель оценки риска КС, обеспечивающая решение задачи оценки эффективности системы защиты при нарушении целостности и несанкционированном получении информации;

• разработаны и практически реализованы формы учетных документов, позволяющие отразить связь между защищаемыми ценностями, ДФ, защитными мероприятиями с необходимыми для них характеристиками;

• результаты исследований в виде инструментального средства могут быть применимы для оценки защищенности КС, когда велик потенциальный риск, когда необходимо количественно оценить уровень защищенности, когда наилучший способ защиты от риска не очевиден.

Разработанная модель оценки риска в рамках методологии анализа защищенности КС была реализована при аттестации по требованиям безопасности информации нескольких ОИ. Из ОИ, успешно прошедших аттестационные испытания в соответствии с действующими нормативными документами и получивших «Аттестаты соответствия требованиям безопасности информации», отмечаются следующие:

• локальная информационно-вычислительная система (ЛИВС) Челябинского территориального управления Госрезерва Российской Федерации - два ОИ (Аттестаты соответствия: № 284/8-48 от 11.07.96, № 284/8-68 от 25.12.97);

• компьютеризированная система учета и контроля ядерных материалов (КСУиК ЯМ) РФЯЦ-ВНИИТФ - четыре ОИ с развитой сетевой архитектурой (Аттестаты соответствия: № 284/8-144 от 21.06.2000, № 284/8-148 от 21.06.2000, № 284/8-149 от 21.06.2000, № 284/8-150 от 21.06.2000).

Рассматриваемая методология оценки риска КС внедрена в качестве учебного материала при подготовке студентов Снежинского физико-технического института (СФТИ, г. Снежинск) по дисциплине «Защита информации и компьютерная безопасность» в рамках темы «Управление риском». Акты внедрения приведены в диссертации.

Основные положения диссертационной работы докладывались на: международном семинаре «Разработка компьютеризированной системы учета и контроля ЯМ (УКЯМ) России» (г. Дубна, 1999); второй Российской международной конференции «Учет, контроль и физическая защита ЯМ (г. Обнинск, 2000); информационно-консультативном семинаре «Защита информации в компьютерных системах» (г. Челябинск, 2000).

Основные положения диссертации отражены в 6 публикациях.

Диссертация состоит из введения, четырех глав, заключения и трех приложений, содержание которых изложено на 168 страницах машинописного текста, иллюстрирована 25 рисунками, содержит 27 таблиц, перечень используемой литературы из 105 наименований.

Основными источниками получения информации по рассматриваемой теме являлись материалы, изложенные в литературе, указанной в библиографическом списке.

На защиту выносятся следующие основные положения:

1. Результаты анализа элементов, участвующих в процессе ЗИ в КС. Системная модель процесса ЗИ в КС.

2. Обоснование принципов и способов организации оценки риска. Общая модель оценки риска КС. Модели определения значений показателей уязвимости информации.

3. Обоснование возможности использования моделей нечетких множеств в применении к оценке вероятностей реализации ДФ. Функции принадлежности значений лингвистической переменной «вероятность».

4. Обоснование связи субъективных вероятностей с нечеткими частотными оценками и алгоритм получения количественных значений вероятностей на базе качественных показателей.

5. Формализация методологии анализа эффективности системы защиты КС в виде обобщенной методики оценки защищенности КС на базе модели оценки риска.

Композиционная структура описания принципов и способов оценки риска КС, представленная в данной работе, состоит из элементов, которые расположены в определенной последовательности, отражающей оптимальный порядок представления рассматриваемого материала. Структурные элементы разделены на следующие разделы:

• Постановка задачи.

• Общая модель оценки риска.

• Методика оценки эффективности ЗИ в КС.

• Пример расчета риска для КС 1.

• Заключение.

• Библиографический список.

• Приложения. 

Обзор методов оценки риска

По сообщениям печати, в частности [78], рынок на западе представлен достаточно широким набором инструментальных средств анализа риска.

Инструментальные средства, используемые для измерения и управления риском, анализируют отношения между ценностями, угрозами, уязвимыми местами, защитными мероприятиями и другими элементами (такими как вероятность события) для определения потенциальных потерь. Некоторые автоматизированные инструментальные средства анализа риска используют традиционные количественные подходы, в некоторых применяется качественный подход, поскольку зачастую потенциальный урон неосязаем, поэтому риск нельзя представить в денежном выражении. Некоторые инструменты применяют комбинированный подход, используя сочетание как количественных, так и качественных оценок.

В качестве примера реализованных методик оценки риска в виде инструментальных средств, рассмотрим некоторые из них, опубликованные в [78]. RISK. @ RISK использует количественный подход и применяется совместно с пакетами Lotus 1-2-3, Symphony и Exsel. @ RISK использует метод Монте-Карло для анализа неопределенности. В ячейки электронных таблиц добавлены распределения вероятности в виде 30 новых встроенных функций распределения вероятности, включая нормальное, логарифмическое, бета, однородные и триангулярные. Меню в стиле Lotus 1-2-3 или Exsel позволяет пользователю применять выборку по методу Монте-Карло или латинского гиперкуба, определить диапазоны вывода и начать моделирование. Результаты выводятся на экран дисплея в графическом изображении, а статистические результаты вычисляются и выводятся на экран в формате отчета. Встроенные функции распределения вероятности можно использовать в электронных таблицах как в качестве значения, так и в других выражениях, а их параметры могут быть ссылками на другие ячейки. Пользователи могут выбирать зависимости и источник генерации случайных чисел. Графический дисплей с высоким разрешением улучшает обработку результатов вывода. Моделирование можно приостановить и вновь продолжить.

MINIRISK. Качественный подход. MINIRISK представляет собой инструментальное средство, спроектированное для оценки уязвимых мест системы обеспечения безопасности компьютера в микрокомпьютерной среде. Средство анкетирования оценок уязвимых мест позволяет организации оценить адекватность и полноту областей индивидуальной защиты и заново оценить эти же области в случае отсутствия средств защиты. Отвечая на вопросы анкетирования MINIRISK, пользователь идентифицирует ошибки защиты в соответствии с категориями уязвимости от 10 до 50, определенными в диапазоне от распределения паролей до вероятностного планирования и внутреннего контроля средств управления. Средства защиты и контроля, обязательные для организации, сопоставляются с каждой рассматриваемой категорией. Отсутствие определенных средств защиты определяет уровень уязвимости от 0 до 9, где 0 соответствует лучшему случаю, а 9 - худшему. MINIRISK устанавливает нарушения посредством оценки уязвимых мест, которые превышают допустимый уровень риска.

LAVA (Los Alamos Vulnerability and Risk Assessment). Количественный и качественный подходы. LAVA предоставляет средства анкетирования, которые идентифицируют ошибки средств защиты в 34 областях - от распределения паролей до принятия мер персональной безопасности и проведения внутреннего контроля. Программа оценивает потенциальные последствия и воздействия на организацию и предельный потенциальный ущерб (риск). LAVA предполагает три вида угроз: природные; случайные или умышленные внутренние угрозы (включая сотрудников организации); внешние угрозы, связанные с человеком. Подробные отчеты LAVA предлагают как качественные, так и количественные результаты по идентификации риска. (Авторы [78] предлагают вниманию читателей основные сведения о двадцати семи инструментальных средствах анализа степени риска, которые можно приобрести на рынке. Помимо краткого описания методологии инструмента, авторы указывают требования к аппаратуре, сведения об интерфейсе пользователя, обучении и реквизитах продавца).

Авторы статьи «Организация работ по защите информации в системах электронной обработки данных» В. А. Герасименко и М. К. Размахнин [17] предлагают некоторые возможные подходы по оценке эффективности защиты информации. Эти подходы в основном используют приближенные оценки, основанные на обработке данных, собранных в процессе функционирования КС и просто в процессе наблюдения над соответствующими явлениями, а также на экспертных оценках.

Кратко рассмотрим основные принципы некоторых предлагаемых подходов. Оценка потенциально возможных угроз и их последствий. Эта оценка производится в соответствии со шкалой, где указываются причины (стихийные бедствия: пожары, наводнения и т.п.; отказы в работе аппаратуры и ошибки в программах работы ЭВМ; ошибки в работе обслуживающего персонала и пользователей системы; преднамеренное разрушение; преступления и т.д.), а также последствия: невозможность обработки данных, потеря входного массива данных, потеря отдельных записей, искажение записей, несанкционированное считывание или копирование. На пересечении причин и последствий установлены цифровые значения. Цифрами условно обозначена вероятность появления событий: 0 - невозможно; 1 - раз в 400 лет; 2 - раз в 40 лет; 3 - раз в 4 года (1 000 рабочих дней); 4 - раз в 100 рабочих дней; 5 - раз в 10 рабочих дней; 6 - раз в день; 7-10 раз в день.

Краткий вывод. Методика не может быть использована для оценки эффективности и выбора мер защиты информации, т.к. для определения (назначения) значений показателя необходим значительный объем статистического материала и, следовательно, значительное число наблюдений.

Сущность другого метода в общем виде может быть представлена следующим образом. В качестве показателя частоты возникновения интересующего события принята величина S, которая принимает следующие значения: 0 -почти никогда; 1 - один раз в 1 000 лет; 2 - один раз в 100 лет; 3 - один раз в 10 лет; 4 - один раз в год; 5 - десять раз в год (примерно один раз в месяц); 6 - сто раз в год (примерно два раза в неделю); 7 - тысячу раз в год (примерно три раза в день). Показатель ущерба V в зависимости от абсолютного значения потерь предложено выражать так: 0-1 дол., 1 - 10 дол., 2-100 дол., 3-1 000 дол., 4 - 10 000 дол.. 5 - 100 000 дол., 6 - 1 000 000 дол., 7 - 10 000 000 дол. Ожидаемый ущерб от z-ой угрозы (причины) предложено вычислять по формуле Rj=10(S+V - 4). Общий ущерб есть сумма ущербов от всех причин, т.е. R = Zi?,-. Краткий вывод. Оценка весьма приближенная, ей присущи все недостатки, указанные для предыдущей методики. Некоторые специалисты предлагают оценивать ожидаемый ущерб по так называемым нижним и верхним взвешенным значениям. При этом предполагается, что известны вероятности появления угроз, а также минимальное и максимальное значение ущерба при появлении угрозы. Тогда названные оценки получаются путем умножения вероятности появления угрозы на минимальное и максимальное значения возможного ущерба. Если, например, пожар в течение года может возникнуть с вероятностью равной 0,5%, и может вызвать потери от 5 тыс. дол. до 2 млн. дол., то нижней взвешенной оценкой будет 5 000 х 0,005 = 25 дол., а верхней 2 000 000 х 0,005 = 10 000 дол.

Терминология, определения, обозначения и исходные допущения

К настоящему времени по проблемам защиты информации опубликовано большое число работ различного уровня и назначения. Поскольку большинство этих публикаций, как правило, являются независимыми, то используемые в них концепции, а также термины и определения существенно различаются. Естественно, что эти расхождения в той или иной мере отразились в переводных и обзорных работах, опубликованных в отечественной печати.

В данной работе будем придерживаться терминологии, используемой в [16]. Риск - выражение величины потерь. Методология оценки риска - принципы и способы организации оценки риска. Дестабилизирующий фактор (ДФ) - такое явление или событие, которое может появляться на каком-либо этапе жизнедеятельности КС и следствием которого могут быть нежелательные (в смысле защиты) воздействия на информацию. Причины нарушения целостности информации (НЦИ) - такие ДФ, следствием проявления которых может быть нарушение физической целостности информации, т.е. ее искажение или уничтожение. Каналы несанкционированного получения информации (НПИ) - такие ДФ, следствием проявления которых может быть получение (или опасность получения) защищаемой информации лицами, не имеющими на это законных полномочий.

Объект защиты (03) - структурный компонент КС, в котором находится подлежащая защите информация. Типовой структурный компонент (ТСК) - объект защиты, удовлетворяющий следующим требованиям: принадлежность к одному и тому же организационному компоненту КС; осуществляет одни и те же функции, связанные с автоматизированной обработкой информации в КС; локализуем с точки зрения территориального расположения КС. Элемент защиты (ЭЗ) - находящаяся в КС совокупность данных, которая может содержать подлежащие защите сведения и быть выделенной по следующим условиям: нахождение в одном и том же 03; локализуемость с точки зрения носителя информации; однородность в смысле воздействия ДФ.

Оргсопряжение - способ реализации связи (сопряжения) КС с другими системами посредством машинных носителей. Техносопряжение - способ реализации связи (сопряжения) КС с другими системами посредством автоматизированного канала связи. Уязвимость информации - вероятность нарушения установленного статуса или требуемого уровня защищенности информации. Верхний индекс (ц) - индекс, применяемый при определении значений показателей уязвимости при нарушении физической целостности информации. Верхний индекс (п) - индекс, применяемый при определении значений показателей уязвимости при несанкционированном получении информации. Верхний индекс (Б) - индекс, применяемый при определении значений базовых показателей уязвимости. Верхний индекс (О) - индекс, применяемый при определении значений обобщенных показателей уязвимости. Базовый показатель уязвимости при НЦИ {Ptzgkt4 ) - вероятность того, что целостность выходящей из одного ТСК информации нарушена под воздействием одного ДФ и (в случае злоумышленных действий людей) относительно одного нарушителя одной категории. Базовый показатель уязвимости при НПИ {Ptzgkl" ) - вероятность несанкционированного получения информации в одном компоненте КС одним злоумышленником одной категории по одному каналу НПИ. Обобщенный показатель уязвимости (Р г {А }) - вероятность нарушения защищенности информации соответствующим подмножеством {А }, где указанное подмножество может включать: {к } - несколько категорий нарушителей; {g } - несколько ДФ; {t } - несколько ТСК КС. При этом, верхний индекс (г) будет обозначаться (и) или (п) в зависимости от того, какие базовые показатели используются при расчетах.

Исходные допущения 1. В настоящей работе оценку риска будем проводить, используя только базовые и обобщенные показатели уязвимости при нарушении целостности и несанкционированном получении информации. Из всех возможных обобщенных показателей будем использовать только обобщенные показатели: для нескольких категорий нарушителей {к }; для нескольких ДФ {g }; для нескольких ТСК КС {t }. 2. Будем рассматривать только три класса ДФ, представляющих опасность для целостности информации, а именно: отказы; сбои; ошибки компонентов КС (включая и людей). 3. Предполагается: различные ДФ воздействуют на информацию независимо друг от друга; базовый показатель обозначает уязвимость информации в одном ТСК КС при однократном проявлении одного ДФ и относительно одного потенциального нарушителя; 4. Временные интервалы при оценке риска будем считать такими, на которых происходящие процессы можно считать однородными. 1.3. Системная модель защиты информации в КС

При выборе подходов обоснования модели оценки риска рассматривались основные составляющие математической модели защиты информации в КС, которая является теоретической базой для построения системы защиты информации.

Создание и обеспечение функционирования систем защиты информации (СЗИ) предполагает разработку комплекса моделей, адекватно имитирующих работу системы защиты в различных условиях.

Моделирование заключается в построении модели изучаемой или разрабатываемой системы и имитации на ней процессов функционирования реальной системы с целью получения необходимых характеристик этой системы. При моделировании обращается внимание на две важные особенности проблемы защиты информации, а именно - на подавляющее влияние случайных факторов и целенаправленную деятельность людей в процессе защиты информации. Эти особенности в значительной степени определяют математический инструментарий общего процесса моделирования защиты информации, основные свойства которого представлены в [48].

Модели нечетких множеств в применении к нечетким событиям

Для реализации предлагаемой модели оценки риска КС необходимо иметь значения вероятностей проявления возможных угроз, которые в рассматриваемом смысле являются случайными событиями. В классическом теоретико-вероятностном подходе если Р - нормированная мера над измеримым пространством (Q., А), то вероятность Р(А) события А определяется как мера множества А и является числом из интервала [0, 1] [35].

Однако, существует много реальных проблем, в которых нарушается одно или больше предположений, неявно присутствующих в приведенном выше определении. Даже если А - вполне определенное обычное (не нечеткое) событие, его вероятность Р(А) может быть определена плохо. Например, на вопрос «Какова вероятность того, что в случае кратковременного отключения питания целостность информации будет нарушена» было бы, по-видимому, сложно, а быть может, и неразумно однозначно ответить числом, например 0.8. В этом случае неопределенный ответ типа «вполне вероятно», «очень вероятно», «высокая вероятность» и т.п. более соответствовал бы нашему нечеткому представлению о возможности нарушения безопасности информации в этом случае и, следовательно, более реалистично, хотя и менее точно, характеризовал бы рассматриваемую вероятность.

Ограничения, обусловленные предположением о том, что А - вполне определенное событие, можно устранить по крайней мере частично, если допустить, что А может быть нечетким событием [35]. Такое событие можно охарактеризовать как нечеткое подмножество А пространства элементарных событий U с измеримой функцией принадлежности JUA, т.е. нечеткое подмножество А универсального множества U характеризуется функцией принадлежности JUA . U - [0, 1], которая ставит в соответствие каждому и е U число / (из интервала [0, 1], характеризующее степень принадлежности элемента и подмножеству А) [35].

Анализ сведений по угрозам информационной безопасности КС, рассмотренных выше, дает возможность отнести большинство из них, особенно предумышленные действия, к категории нечетких событий.

Важный шаг, который можно предпринять с целью сделать теорию вероятностей применимой к плохо определенным ситуациям, состоит в допущении того, что вероятность Р может быть лингвистической переменной [35].

Лингвистическая переменная характеризуется набором (X, Т(Х), U, G, М), в котором X - название переменной; Т(Х) (или просто Т) обозначает терм-множество переменной X, т.е. множество названий лингвистических значений переменной X, причем каждое из таких значений является нечеткой переменной X со значениями из универсального множества U с базовой переменной и; G - синтаксическое правило (имеющее обычно форму грамматики), порождающее названия X значений переменной X, а М - семантическое правило, которое ставит в соответствие каждой нечеткой переменной X ее смысл М(Х), т.е. нечеткое подмножество М{Х) универсального множества U. Конкретное название X, порожденное синтаксическим правилом G, называется термом. Терм, состоящий из одного слова или нескольких слов, всегда фигурирующих вместе друг с другом, называется атомарным термом. Терм, состоящий из более, чем одного терма, называется составным термом. Конкатенация некоторых компонент составного терма является подтермом. Если Х\, Х2, ... - термы в Т, то Т можно представить в виде объединения Т = Х1+Х2+.... (21Л) (Знак + обозначает здесь объединение, а не арифметическое суммирование). Смысл М{Х) терма X определяется как ограничение ЩХ) на базовую переменную и, обусловленное нечеткой переменной А : M(X)UR(X), (2.1.2) имея в виду, что R(X) и, следовательно, М(х) можно рассматривать как нечеткое подмножество множества U, имеющее название X. (Здесь символ D употребляется в смысле «обозначает» или «равно по определению»). Рассмотрим переменную X с конечным универсальным множеством и=щ + и2+...+ип. (2-1.3) Кроме того, предполагается, что ограничение, обусловленное X, совпадает с U, т.е. любая точка в U может быть выбрана в качестве значения переменной X. Каждому элементу щ, і = 1, ..., п, ставится в соответствие лингвистическая вероятность Ри которая является булевой лингвистической переменной [35]; pi, 0 р\ 1, базовані переменная для Pv.

Р употребляется в качестве общего названия переменных Р[. Типичное терм-множество для Р имеет такой вид:

Т(Р) = вероятно + невероятно + очень вероятно + более или менее вероятно + низкая вероятность + очень низкая вероятность + средняя вероятность + высокая вероятность + очень высокая вероятность + близко к 0 + близко к 0.1 + ... + близко к 1 + ...+ очень близко к 0 + очень близко к 0.1 + где термы вероятно, низкая вероятность, средняя вероятность, высокая вероятность и близко к играют роль первичных термов.

Нечеткое ограничение на значения базовой переменной, которая для нашего случая является по своей природе числовой переменной в интервале от 0 до 1, характеризуется функцией совместимости, которая каждому значению базовой переменной ставит в соответствие число из интервала [0, 1], символизирующее совместимость этого значения с нечетким ограничением.

Создание экспертной группы

Создание экспертной или рабочей группы необходимо для того, чтобы целенаправленно и квалифицировано проанализировать возможные опасные ситуации. В состав группы рекомендуется включать: - специалистов по анализу опасных ситуаций, которые отвечают за сбор исходных данных и которые несут ответственность за предоставление руководству информации, способствующей наилучшему выбору защитных мероприятий; - представителей разработчика системы, отвечающих за предоставление аналитикам необходимой и точной информации о системе; - представителей служб, занимающихся эксплуатацией зданий и помещений, а также представителей отдела кадров, охраны и т.п., которые могут предоставить информацию о внешних опасностях и проблемах, связанных с эксплуатацией рассматриваемой компьютерной системы, в том числе и по оценке профессиональных и морально-психологических качеств персонала, участвующего в эксплуатации КС; - представителей персонала, сопровождающего систему. Они несут ответственность за предоставление информации об аппаратном и программном обеспечении, а также предполагаемой технологии обработки информации и применяемых процедурах; - экономистов, которые могли бы предоставить данные о ценности элементов защиты, находящихся в КС; - представителей руководства, отвечающего за обеспечение защиты ценностей организации.

Специфика формирования рабочей группы оценки риска компьютерной системы заключается в том, что в состав представителей, указанных выше, можно включать не одного человека, а такое их число, которое позволяло бы учесть при анализе риска деятельность всех структурных звеньев организации, эксплуатирующей и обслуживающей систему, а также все разнообразные требования и указания, регламентирующие деятельность организации.

Описание КС Данные по КС должны включать следующие основные сведения: архитектура и тип КС; состав технических и программных средств обработки информации; размещение активного и пассивного сетевого оборудования (территория, здания, помещения): описание зон безопасности.

При определении мер и средств защиты необходимо учитывать архитектуру и тип компьютерной системы [77, 81].

Различные архитектуры и типы компьютерных систем могут требовать различных методов контроля и управления безопасностью.

Классифицировать компьютерные системы (сети) можно по-разному. Рассмотрим классификацию сетей по архитектуре и типам с акцентом на концепциях безопасности, соответствующих каждому классу. Заметим, что типы сетей в этом списке не являются взаимно исключающими.

В кольцевой сети (называемой также циклической сетью) через каждый узел проходит единственный маршрут, образуя замкнутую цепь (рис. 17). Сеть с общей шиной, где также обеспечивается всего лишь одна линия передачи данных, отличается от кольцевой сети тем, что на конце цепи не соединяются, а заканчиваются установленными терминаторами (блок оконечных согласующих резисторов).

Оценка в отношении угроз безопасности: позволяет легче находить обрыв кабеля (т.к. сигналы могут двигаться в обоих направлениях). Обычно используется внутри одного здания. Все коммуникации между двумя точками осуществляются по одному маршруту, что позволяет осуществлять достаточно простой контроль. Основное внимание - обеспечение санкционированного доступа к ресурсам системы. Оценка в отношении угроз безопасности: обычно используется в пределах одного здания (из-за высокой стоимости кабельной проводки). Также, все коммуникации между двумя точками осуществляются по одному маршруту, что позволяет осуществлять достаточно простой контроль. Основное внимание - ограничение доступа к центральному узлу, конечным узлам и кабелям между ними.

Компьютерные сети могут отличаться наличием различных технических средств, работающих с разным программным обеспечением, условиями расположения относительно границ территории, возможностью коммутации с другими компьютерными системами, что также необходимо учитывать при оценке безопасности сетей. Можно выделить несколько типов компьютерных сетей.

Локальные сети - как правило размещаются внутри здания (или в нескольких соседних зданиях) и, как правило, соединяют микрокомпьютеры, а также используют микрокомпьютер в качестве сервера. Локальность размещения всех коммуникаций внутри одного и того же здания в пределах от 60 до 80 процентов.

Оценка в отношении угроз безопасности: обеспечить защиту кабельной проводки от прослушивания (особенно в зданиях где располагаются лица с разными уровнями допуска к системе), учитывать наиболее важные узлы сети и обеспечить их надлежащую защиту. Неоднородные сети Неоднородные сети имеют два или более различных центральных узлов. Например, один IBM, а другой DEC или разные модели компьютеров одной фирмы. Оценка в отношении угроз безопасности: главное - установить четкие, разумные правила для тех, кто отвечает за всю сеть. Определить методы управления всеми ресурсами. Ячеистые сети Ячеистая сеть имеет два или более соединений между любыми двумя узлами. Оценка в отношении угроз безопасности: учитывая, что информация, посланная из узла А в узел В, может быть доступна узлу С и перехвачена или перенаправлена, определить, где это произошло, может быть очень сложно. Одна из наимение защищенных типов сети. Особое внимание - аутентификация, целостность. Коммутируемые сети К коммутируемым сетям можно отнести сеть любого рассмотренного типа, если обеспечить ее дополнительной возможностью коммутации (с целью расширения пределов досягаемости сети). Оценка в отношении угроз безопасности: коммутируемость снижает безопасность сети. Особое внимание контролю внешних пользователей и защите важных данных.

Для компьютерных систем, в которых предполагается обработка информации, отнесенной Законом Российской Федерации «О государственной тайне» [41] к информации ограниченного доступа, дополнительно к описанию архитектуры и типа сети потребуется определение соответствующего класса защищенности компьютерных систем, определенных в нормативной документации, как автоматизированные системы (АС). Класс защищенности АС определяется в соответствии с [38].