Содержание к диссертации
Введение
ГЛАВА 1. Особенности электронного документооборота как объекта защиты информации 16
1.1. Системы электронного документооборота. Состояние и перспективы их использования .16
1.2. Угрозы безопасности информации в системах электронного документооборота и методология их выявления 31
1.3. Меры и средства защиты информации в системах электронного документооборота. 43
1.4. Анализ состояния исследований по разработке методического обеспечения оценки эффективности защиты информации и определение целесообразных путей его развития .50
Глава 2. Разработка методического обеспечения количественной оценки эффективности функционирования системы защиты информации на объекте информатизации 56
2.1. Методика комплексной оценки эффективности способов и средств защиты информации на объекте информатизации с использованием аппарата теории нечетких множеств .57
2.2. Методика реализации и обработки результатов опроса экспертов системы оценивания опасности угроз информации 70
2.3. Оценка угроз безопасности информации с учетом динамики их реализации 76
2.4. Методика формирования матриц нечетких выводов, .88
2.5. Метод учета влияния характеристик мер и средств защиты на эффективность защиты информации 93
ГЛАВА 3. Разработка методического обеспечения обоснования требований к системе защиты информации (СЗИ) 97
3.1. Формирование структуры требований к системе защиты и обобщенная технологическая схема их обоснования. ,97
3.2. Методический подход к оптимизации выбора мер и средств защиты информации на объекте информатизации 107
3.3. Алгоритм оптимального выбора мер и средств защиты, основанный на использовании особенностей целевой функции 114
3.4. Разработка общих алгоритмов управления СЗИ ,123
ГЛАВА 4. Пути создания автоматизированных систем управления защитой информации и подсистем экспертного оценивания ее эффективности 141
4.1. Автоматизированная подсистема экспертного оценивания эффективности защиты информации 141
4.2. Апробация экспертной системы оценивания эффективности защиты информации в системах электронного документооборота 147
4.3. Обоснование состава и структуры автоматизированных систем поддержки принятия решений при организации защиты информации в системах электронного документооборота 151
Заключение 156
Список литературы
- Угрозы безопасности информации в системах электронного документооборота и методология их выявления
- Методика реализации и обработки результатов опроса экспертов системы оценивания опасности угроз информации
- Методический подход к оптимизации выбора мер и средств защиты информации на объекте информатизации
- Апробация экспертной системы оценивания эффективности защиты информации в системах электронного документооборота
Введение к работе
Актуальность темы. Современная эпоха информационных технологий характеризуется широким внедрением во все сферы жизнедеятельности общества средств вычислительной техники, связи и телекоммуникаций, что создало новые уникальные возможности для присвоения информации статуса товара. Повсеместное внедрение информационных технологий и глобальной компьютерной сети привело к формированию глобального межгосударственного информационного пространства, в котором информация обращается в электронной форме, непривычной для традиционного представления (документального). В информационную сферу сегодня включена значительная часть современного общества. Эта сфера является системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности государства.
Необходимым условием нормального существования и развития каждого общества является защищенность от внешних и внутренних угроз, устойчивость к попыткам внешнего давления, способность как парировать такие попытки и нейтрализовать возникающие угрозы, так и обеспечивать такие внутренние и внешние условия существования страны, которые гарантируют возможность стабильного и всестороннего прогресса общества и его граждан. Для характеристики такого состояния было введено такое понятие как «национальная безопасность» [64]. Причем одним из важнейших ее компонентов является информационная безопасность, т. е. такое состояние защищенности информационных ресурсов от внутренних и внешних угроз, способных нанести ущерб интересам личности, общества, государства (национальным интересам).
Широкое применение современных информационных технологий в правительственных организациях, банковских структурах, промышленности и других организаций привело к возникновению новых видов преступлений связанных с использованием средств вычислительной техники (ЭВМ) и других технических средств. При этом внутри учреждений для обработки, хранения, пе-
редачи основных объемов информации повсеместно используются автоматизированные системы или пакеты прикладных программ, образующих различного рода системы электронного документооборота.
Надежное противодействие информационным угрозам требует их выявления и осознания, разработку методов предотвращения их проявления и защиты от них. Кроме того, комплекс противодействия угрозам должен представлять собой единую систему защиты информации, осуществляющую комплексную защиту [55]. Под комплексностью защиты понимается согласованное применение разнородных средств защиты информации от всей совокупности угроз на всех этапа жизненного цикла системы электронного документооборота.
Защита каждого объекта информатизации, а также подходы к ее реализации строго индивидуальны. Обеспечение информационной безопасности предполагает проведение целого комплекса организационных и технических мероприятий по обнаружению, отражению, ликвидацию воздействий различных видов возможных угроз. Кроме того, защита должна быть обеспечена по всему спектру гипотетических угроз. Даже одно слабое звено в системе безопасности, возникающее в результате какого-либо изъяна в ее организации, не позволит прочим звеньям в нужный момент противостоять возникшим угрозам. Поэтому для построения надежной защиты необходимо выявить все возможные угрозы безопасности информации, оценить их опасность, вероятность их реализации и по этим данным определиться с необходимыми мерами и средствами защиты, а также оценить их эффективность. Этап оценки рисков, являющийся основополагающим в определении дальнейшего плана действий по защите информации представляет собой одно из самых слабых мест в современной теории защиты информации, в частности по причине отсутствия возможностей количественной оценки всего комплекса угроз, имеющих место на объекте.
Оценка вероятности осуществления угроз может производиться с помощью различных средств, таких, как методы моделирования процессов защиты информации [20-22,45, 55, 56, 58, 60], экспертные оценки [20-22, 55, 58], статистический анализ [20, 55, 56]. На основании этого анализа строится функцио-
нальная схема системы защиты информации, а также предъявляемые к ней требования с учетом специфики конкретного объекта. Однако к настоящему моменту не выработано четкой схемы обоснования требований к системам защиты информации, в частности, по таким важным параметрам, как их структура и эффективность. Для расчета значения эффективности предлагаются различные системы показателей: вероятностные [22, 54-59], стоимостные [21, 55-56] и т. п. То есть, в вопросе реализации следующего основного этапа разработки систем защиты информации также нет строгого концептуального единства.
Таким образом, в области разработки систем защиты информации можно выделить два основных актуальных вопроса, решение которых позволит существенно повысить их эффективность и адекватность: разработка методики количественной оценки эффективности систем защиты, и тесно связанный с ним вопрос обоснования требований по структуре и содержанию систем защиты на основе рассчитанных количественных показателей.
Работа выполнена в соответствии с одним из основных научных направлений Воронежского государственного технического университета «Перспективные радиоэлектронные и лазерные устройства, системы передачи, приема, обработки и защиты информации», межвузовской комплексной программой 2.11 «Перспективные информационные технологии в высшей школе» и межвузовской научно-технической программой Н.Т.414 «Методы и технические средства обеспечения безопасности информации».
Состояние исследований в изучаемой области. Как было указано выше, все современные предприятия и учреждения, в том числе, и особого назначения, в той или иной мере, становятся элементами единого информационного пространства. Как внутри элементов этого пространства, так и между ними имеются потоки информации, представляемой, в основном, в электронной форме, составляющие систему электронного документооборота. Причиной этого является внедрение на них автоматизированных систем и пакетов прикладных программ различного назначения [1-8]. Внутри этих систем электронные документы проходят все фазы своего жизненного цикла. Имеет место ряд уг-
7 роз, направленных на эти системы и их содержимое. Однако, поскольку они являются лишь частью большого объекта информатизации, необходимо принимать во внимание весь комплекс угроз, направленных на объект в целом.
Соответственно, при решении задачи защиты, система защиты должна иметь механизмы противодействия всему комплексу угроз.
Ранее было отмечено, что отправной точкой при разработке системы защиты информации является комплексная оценка угроз безопасности информации. Существует два возможных пути при решении этой задачи: качественная и количественная оценка. При качественном оценивании [16, 20-22, 53, 55, 56], как правило, угрозы ранжируются по своей опасности (в смысле финансовых или др. потерь), сравниваясь друг с другом. Этот подход не может быть использован при проектировании систем защиты, так как не ясен вопрос о свертке оценок для вычисления опасности всего комплекса угроз.
Второй путь решения - задание количественных значений [22, 55, 56-59]. Причем здесь также используются некоторые относительные значения, полученные переводом по какой-либо шкале вербальных характеристик угроз, задаваемых экспертами. Однако и в данном случае, как правило, вопрос о свертке не решается [55], и предложения по составу средств защиты делаются из простых соображений покрытия множества угроз множеством мер и способов защиты. Естественно, задача количественного определения эффективности и оптимального выбора мер и средств в данном случае не ставится. При этом отсутствие строгой методики обоснования структуры зачастую приводит к неоптимальности, или, даже, несостоятельности выбранного набора компонентов системы защиты.
Попытки расчета эффективности комплексной защиты компьютерных систем по единой системе показателей до сих пор не предпринимались, в основном все разработанные подходы определения эффективности используют совокупность разнородных частных показателей эффективности [22], что резко затрудняет решение задач оптимального выбора элементов системы защиты, поскольку сравнительная оценка мер и средств невозможна.
Второй описанный выше вопрос о структуре системы защиты результативно может быть решен только на основании количественных оценок. Имеется ряд разработанных требований [16, 53], в которых приводится классификация по уровням защищенности, но с ее помощью можно лишь в общем характеризовать систему защиты, только по имеющимся подсистемам, без учета особенностей и эффективности их реализации.
Цель диссертационной работы. Разработка методического обеспечения комплексной оценки эффективности защиты информации и обоснование требований к составу и структуре систем защиты информации в системах электронного документооборота.
Основные задачи. Для решения поставленных целей необходимо решить следующие задачи.
Проанализировать существующие подходы к разработке систем защиты информации в компьютерных системах и выявить возможные пути их развития.
Разработать методическое обеспечение комплексной оценки эффективности защиты информации в системах электронного документооборота.
Разработать систему требований к составу и характеристикам элементов системы защиты электронного документооборота и обосновать требования к составу и структуре системы защиты.
Разработать процедуры управления защитой информации в системах электронного документооборота на основе оптимизации выбора мер и средств защиты в динамике изменения обстановки.
Разработать состав и структуру автоматизированных систем поддержки принятия решений в интересах организации защиты информации в системах электронного документооборота.
Объект исследования. Система защиты информации в системах электронного документооборота.
Предмет исследования. Методическое обеспечение оценки эффективность комплексной защиты информации в системах электронного документооборота.
Методы исследования. В работе использованы методы системного анализа, математического программирования, математической статистики, положения теории нечетких множеств, нейронных сетей и теории информационной безопасности.
Степень обоснованности научных положений, выводов и рекомендаций, сформулированных в диссертации, обеспечивается:
корректным использованием методов системного анализа, математического программирования, математической статистики и теории нечетких множеств;
сопоставлением результатов с известными из публикаций частными случаями;
исследованием поведения предлагаемой методики при экстремальных значениях входных параметров;
использованием в работе соответствующих Государственных стандартов и Руководящих документов Гостехкомиссии России.
Научная новизна. В диссертационной работе получены следующие результаты, характеризующиеся научной новизной.
Впервые для оценки эффективности комплексной защиты информации на объектах информатизации использован аппарат теории нечетких множеств, на основе которого разработаны процедуры оценки степени защищенности информации при нечетком задании исходных условий и данных.
Впервые предложено в качестве показателя комплексной оценки эффективности защиты информации на объекте информатизации использовать мультипликативную функцию, аргументами которой являются коэффициенты опасности угроз, вероятности реализации угроз за заданное время, а также показатели оценки влияния мер и средств защиты на защищенность информации от совокупности угроз и получены аналитические соотношения для расчета предложенной функции.
Впервые предложено несколько видов матриц нечетких выводов для различного рода нечетких зависимостей комплексного показателя эффективности
10 от коэффициентов опасности и вероятностей реализации угроз и разработаны правила и алгоритмы по их формированию, что позволяет охватить основные ситуации, возникающие на практике при определении показателя эффективности комплексной защиты информации на объекте информатизации при нечетком задании исходных условий и данных.
Разработаны постановки и алгоритмы решения оптимизационных задач выбора мер и средств защиты информации на объекте информатизации, отличающиеся от известных тем, что в качестве целевой функции используется функция нечетких переменных, а в алгоритме решения применены композиционные правила нечеткого вывода и процедуры нечеткой импликации аппарата теории нечетких множеств.
Предложены критерии и алгоритмы выбора характеристик подсистемы управления защитой информации в системах электронного документооборота и количественного обоснования оптимальных управленческих решений по использованию мер и средств защиты информации, отличающихся от известных тем, что критерии основаны на нечетких переменных, а алгоритмы привязаны к интервалам времени принятия управленческих решений и готовности средств защиты и основаны на процедурах аппарата теории нечетких множеств.
Практическая ценность полученных результатов. Разработанные в диссертации методики позволяют проектировать системы защиты различного уровня и сложности, которые могут быть применены как для защиты электронного документооборота, так и системы защиты объекта информатизации в целом.
Разработанная автоматизированная система экспертного оценивания защиты информации представляет собой гибкое инструментальное средство, позволяющее производить квалифицированные оценки уровня защищенности любого объекта. Автоматизированная система, являясь по себе законченным продуктом может быть использована в качестве подсистемы в системе проектирования систем защиты.
Научные результаты, полученные в диссертационной работе, были внедрены в Государственном научно-исследовательском испытательном институте Гостехкомиссии России, что подтверждено актами внедрения.
Кроме того, полученные результаты используются в Воронежском государственном техническом университете в ходе курсового и дипломного проектирования на кафедре «Системы информационной безопасности» студентами специальности 075500 «Комплексное обеспечение информационной безопасности автоматизированных систем» по общепрофессиональным дисциплинам «Системы и сети передачи информации», «Безопасность вычислительных сетей», что подтверждено актом внедрения в учебный процесс.
Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на следующих конференциях:
Всероссийская научно-практическая конференция «Охрана и безопас-ность-2001»: Тез. докл. - Воронеж: ВИ МВД России, 2001.
Научно-техническая конференция профессорско-преподавательского состава Воронежского государственного технического университета, 2001 г.
Научно-техническая конференция профессорско-преподавательского состава Воронежского государственного технического университета, 2002 г.
Публикации. По материалам диссертационной работы опубликовано 16 научных статей и докладов, основные из них [91-102], из них 3 на Всероссийской конференции.
Основные положения, выносимые на защиту.
Методика комплексной оценки эффективности защиты информации на объектах информатизации.
Зависимости показателей эффективности защиты информации на объектах информатизации от характеристик угроз безопасности информации, важности обрабатываемой информации и характеристик мер и средств ее защиты.
Количественные процедуры обоснования требований к составу и характеристикам мер и средств защиты информации в системах защиты электронного документооборота.
Критерии и алгоритмы выбора характеристик подсистемы управления защитой информации в системах электронного документооборота и количественного обоснования оптимальных управленческих решений по использованию мер и средств защиты информации.
Виды зависимостей эффективности защиты информации от возможностей своевременного обнаружения угроз безопасности информации в адаптивных системах управления защитой информации.
Структура и состав автоматизированной экспертной системы оценивания эффективности защиты информации, основанной на нечетких суждениях и процедурах нечеткого вывода.
Объем и структура диссертационной работы. Диссертация состоит из введения, четырех глав, заключения, списка литературы, включающего 102 наименования и приложения на 29 страницах. Основной текст изложен на 140 страницах машинописного текста. Работа содержит 37 рисунков и 4 таблицы.
Во введении обоснована актуальность темы диссертации, сформулированы цели и задачи исследования, приведено краткое содержание каждого раздела, представлены основные научные результаты, выносимые на защиту и описана их новизна.
В первой главе проведен анализ состояния вопроса. Рассмотрены основные системы электронного документооборота, приведены структура и основные схемы систем. Исследованы современные методики качественной и количественной оценки угроз информации и эффективности защиты информации на объекте информатизации. При этом отмечено, что до настоящего времени не разработано стройной и точной концепции расчета. Проанализированы угрозы для защищаемой информации, возникающие на объектах информатизации. Выделена группа антропогенных угроз, как особо актуальных, являющихся первой целью противодействия. Рассмотрены основные методы и средства защиты информации, указано, что наибольшая эффективность может быть достигнута
13 комплексным применением мер и средств, объединенным в единую систему защиты информации.
В результате проведенных исследований сделаны выводы о необходимости дальнейшего проведения исследований в области разработки методик количественного оценивания эффективности мер и средств защиты информации в интересах разработки структур и обоснования требований к системам защиты информации.
Во второй главе, исходя из поставленных задач, рассмотрены вопросы методического обеспечения количественной оценки эффективности защиты информации, алгоритмы расчета и нюансы вычисления. В частности, предлагается методика количественного расчета эффективности как относительного показателя коэффициента защищенности системы в условиях применения мер и средств защиты и без них. Для определения коэффициента защищенности системы используется количественное значение коэффициентов опасности угроз информации и вероятности их реализации. Их количественное оценивание производится экспертами в виде треугольных нечетких чисел.
Разработана методика вычисления комплексного показателя угроз с использованием операции произведения нечетких чисел. Разработаны и проанализированы наборы правил формирования нечетких выводов, используемых при определении значения коэффициента защищенности системы как композиции этих матриц с комплексным показателем угроз, выраженном в нечетком виде и влияние вида матрицы на конечный результат. Показаны особенности применения и рекомендации по выбору этих правил.
Описана процедура дефаззификации для получения четкого количественного значения коэффициента защищенности с заданным уровнем достоверности.
Предложена методика реализации и обработки нечетких результатов экспертного опроса.
Указана и описана возможность применения разработанной методики оценки с учетом динамики реализации угроз в дискретные моменты времени.
Разработана методика количественного расчета влияния применяемых мер и средств на значении коэффициента защищенности системы в условиях задания их эффективности как экспертно, в виде нечетких чисел, так и в виде четкого коэффициента снижения угрозы.
В третьей главе проанализировано состояние методического обеспечения обоснования требований к системам защиты информации. Указано на отсутствие четкого состава и структуры. Предложена номенклатура, представляющая собой объединение требований по какому-либо аспекту разработки или этапу жизненного цикла системы защиты информации. В этой номенклатуре выделены те требования, обоснование которых непосредственно связано с оценкой эффективности технической защиты информации с помощью данной системы защиты, указано на их основополагающее значение. На основе проведенного анализа предложена технологическая схема обоснования требований к системе защиты информации на объекте информатизации.
Указаны три вида постановки задач оптимального выбора мер и средств защиты, имеющих нечеткую целевую функцию и ограничения. Первая постановка соответствует случаю, когда задается требуемая эффективность защиты информации и эта эффективность обеспечивается выбором мер и средств при минимальных затратах на защиту информации. Вторая постановка задачи возникает в случае, когда затраты на защиту информации ограничены и при этом необходимо достичь максимально возможной степени защищенности информации. Третья постановка заключается в определении набора мер и средств защиты, набор которых будет соответствовать заданному классу защищенности в соответствии с указанными в [16]. Разработаны и приведены схемы решения этих задач. Указаны преимущества использования количественных оценок эффективности по сравнению с рекомендуемыми качественными [16, 53].
Предложен алгоритм оптимального выбора мер и средств защиты, основанный на использовании особенностей целевой функции, а именно, ее нечеткого задания. Разработан подход к решению нелинейной задачи оптимизации, которой как целевая функция, так и ограничения заданы в нечетком виде, с це-
15 лочисленными переменными состава мер и средств защиты информации, основанный на свойствах вероятности реализации как математической функции от аргументов.
Рассмотрен цикл управления безопасностью на объекте в целом, разработаны циклы управления на организационно-системном, организационно-техническом и оперативно-диспетчерском уровне.
Поставлена и решена задача обнаружения сетевых атак на основе на основе нейронных сетей от удаленного несанкционированного доступа в компьютерных системах.
В четвертой главе описана разработанная автоматизированная подсистема экспертного оценивания эффективности защиты информации в системах электронного документооборота, в которой внедрены основные положения разработанного методического обеспечения оценки эффективности. Описываются результаты ее апробации. Приводится обоснование состава и структуры автоматизированных систем поддержки принятия решений при организации защиты информации в системах электронного документооборота.
В заключении обобщены основные результаты диссертационной работы.
Автор выражает глубокую благодарность кандидату технических наук, старшему научному сотруднику Государственного научно-исследовательского испытательного института проблем технической защиты информации Гостех-комиссии России Язову Юрию Константиновичу за помощь в работе над диссертацией.
Угрозы безопасности информации в системах электронного документооборота и методология их выявления
Под угрозой безопасности информации понимается совокупность условий и факторов, которые в случае их реализации могут привести к утечке или утрате информации [17]. Приведенное определение широко применяется на практике, однако при организации защиты информации и особенно при количественном анализе возможностей возникновения и реализации угроз это определение не позволяет определить признаки различия угроз с одинаковыми деструктивными функциями, конкретизировать условия и факторы возникновения и реализации угроз и др. В зависимости от потребностей практики угрозы безопасности информации могут описываться с разной степенью детализации. В общем случае описание угрозы представляет собой семерку M,={ur,S,9Z,,W,,DyJ9 T„)9 где иу- наименование угрозы; Sy-описание источника угрозы; Zy- описание уязвимого звена, которое используется при реализации угрозы; Wy- описание способа реализации угрозы (например, описание атаки); / -описание деструктивной функции или набора деструктивных функций, выполняемы при реализации угрозы; Ту - время существования угрозы; ТИ- время реализации угрозы.
Некоторые из указанных характеристик не являются обязательными при описании угроз. Так, может отсутствовать время существования или реализации угрозы, в отдельное описание может быть выделено описание источников и уязвимых звеньев для каждой угрозы. Однако, указанное фреймовое описание с семью слотами представляет собой достаточно полное общее формальное представление угрозы безопасности информации. Фрагменты указанного описания приводились во многих работах [18-22], но в настоящее время полное описание угроз безопасности информации для большинства объектов информатизации, в том числе для систем электронного документооборота отсутствует.
Из указанного формального определения видно, что в состав описания угрозы включается описание так называемой деструктивной функции, которая может быть вьшолнена при реализации угрозы. Состав типовых деструктивных функций приведен в приложении. Характерно, что если угроза может быть завершена выполнением только одной деструктивной функции, то угроза называется по наименованию этой функции. Если в результате реализации угрозы может быть выполнена любая из нескольких возможных деструктивных функций, то угроза именуется, как правило, по способу ее реализации.
Общая классификация возможных угроз безопасности информации для систем электронного документооборота приведена на рис. 1.6, а общая технологическая схема выявления угроз безопасности информации на объекте информатизации приведена на рис. 1.7.
В соответствии с этой классификацией и технологической схемой выявления угроз были определены угрозы безопасности информации в системах электронного документооборота, состав которых приведен в приложении. Анализ этих угроз показывает, что часть из них характерна для большинства объектов информатизации и связана с утечкой информации по техническим каналам, влиянием электромагнитных излучений техногенного характера, природными катаклизмами, а также с действиями пользователей, криминогенных элементов, конкурентов непосредственно в пределах организации, предприятия. Эти угрозы можно разделить на три группы [18-20, 23-27].
Первая группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты от них. Субъекты, действия которых могут привести к нарушению безопасности информации, то есть источники угроз могут быть как внешние: криминальные структуры; рецидивисты и потенциальные преступники; недобросовестные партнеры; конкуренты; политические противники; так и внутренние: персонал учреждения; персонал филиалов; лица с нарушенной психикой; специально внедренные агенты.
Основываясь на результатах международного и российского опыта, действия субъектов могут привести к ряду нежелательных последствий, среди которых применительно к системе электронного документооборота, можно выделить следующие [4, 5, 8,18-21]:
1. Кража: а) технических средств (винчестеров, системных блоков); б) носителей информации (бумажных, магнитных и пр.); в) информации (чтение и несанкционированное копирование); г) средств доступа (ключи, пароли и пр.).
2. Подмена (модификация): а) операционных систем; б) систем управления базами данных; в) прикладных программ; г) информации, отрицание факта отправки сообщений; д) паролей и правил доступа.
3. Уничтожение (разрушение): а) технических средств (винчестеров, системных блоков); б) носителей информации (бумажных, магнитных и пр.); в) программного обеспечения (ОС, СУБД, прикладного ПО); г) информации (файлов, данных); д) паролей и ключевой информации. 4. Нарушение нормальной работы (прерывание): а) скорости обработки информации; б) пропускной способности каналов связи; в) объемов свободной оперативной памяти; г) объемов свободного дискового пространства; д) электропитания технических средств.
5. Ошибки: а) при инсталляции ПО, ОС, СУБД; б) при написании прикладного ПО; в) при эксплуатации ПО; г) при эксплуатации технических средств.
Методика реализации и обработки результатов опроса экспертов системы оценивания опасности угроз информации
Существует множество разработанных методик опроса и обработки результатов, полученных от экспертной группы [65]. Воспользуемся ОДНОЙ ИЗ них.
При формировании группы экспертов на стадии выявления знаний необходимо учитывать такие характеристики экспертов как: компетентность - степень квалификации эксперта в данной области знаний; креативность - способность решать творческие задачи; отношение к экспертизе - негативное или пассивное отношение, или занятость существенно влияет на качество работы эксперта в группе; конформизм - подверженность влиянию авторитетов, при котором мнение авторитета может подавлять лиц, обладающих более высокой компетентностью; коллективизм и самокритичность.
Рассмотрим один из возможных путей количественного описания характеристик эксперта, основанный на вычислении относительных коэффициентов компетентности по результатам высказывания специалистов о составе экспертной группы.
Суть методики сводится к тому, что ряду специалистов предлагается высказать мнение о списочном составе экспертной группы. Если в этом списке появляются лица, не вошедшие в исходный список, им тоже предлагается назвать специалистов для участия в экспертизе. После нескольких этапов будет получен достаточно полный список кандидатов в группу.
По результатам опроса составляется матрица, по строкам и столбцам которой записываются фамилии экспертов, а элементами таблицы являются переменные: , если эксперт назвал і - ого 9 \ О, если j - ый эксперт не назвал і - ого При этом эксперт может включать себя или не включать в экспертную группу (то есть Ху=0 или ху=1). По данной таблице можно вычислить относительные коэффициенты компетентности, используя алгоритм решения задач о лидере. Введем относительные коэффициенты компетентности h-порядка для каждого эксперта: где m - число экспертов в списке (размерность матрицы ху), h - номер порядка коэффициента компетентности. Коэффициенты компетентности нормированы так, что их сумма равна единице: Ztf-l.A-U... (2.18) .-і
По формуле (2.17) можно вычислить значение компетентности для различных порядков, начиная с первого. При h=l выражение (2.17) будет иметь вид:
Смысл этой формулы в том, что подсчитывается число голосов, поданных за і-го эксперта и делится на общее число голосов, поданных за всех экспертов. Таким образом, коэффициент компетентности первого порядка - это относительное число экспертов, высказавшихся за включение і-го эксперта в группу.
Относительный коэффициент компетентности второго порядка получают из (2.17) для h=2 при условии, что #/(/=1,2 ...т) определены по (2.19):
Коэффициенты второго порядка представляют собой относительное количество голосов, взвешенных коэффициентом компетентности первого порядка.
Последовательно вычисляя относительные коэффициенты компетентности более высокого порядка, можно убедиться, что процесс быстро сходится после 3-4 вычислений, то есть относительные коэффициенты быстро стабилизируются. В общем случае коэффициенты относительной компетентности определяются как:
Пример: В результате опроса трех экспертов о составе экспертной группы получены данные (ху) о мнении каждого из них по включению экспертов в рабочую группу. Эти данные сведены в таблицу:
Продолжая аналогичные вычисления до тех пор, пока не будут отличаться от к? г с точностью 0.01, получим: 3=[0.5 0.042 0.458]Г к4 = [0.5 0.02 0.48]7 . /с5=[0.5 0.01 0.49]Г При h- x АгА- [0.5 0.0 0.5f.
Можно показать, что предельные значения коэффициентов компетентности представляют собой компоненты собственного вектора для максимального собственного числа матрицы Х=хц. Собственные числа матрицы X определяются как корни алгебраического уравнения: ЛГ-АхЖ = 0, где Я - вектор собственных чисел матрицы голосования ЛГ, Е - единичная матрица. Собственный вектор матрицы, соответствующий максимальному собственному числу, вычисляется из системы т+1 порядка линейных алгебраических уравнений: где К =[„2,...,т] - вектор компетентности, являющийся собственным вектором матрицы X для максимального собственного числа.
При определении коэффициентов опасности в работе предлагается метод, подобный методу непосредственного оценивания. Заключение о согласованности экспертов дается на основании коэффициента конкордации, рассчитываемом для каждого коэффициента опасности Ka9u = l,U и для каждой функции принадлежности по всем характерным точкам:
Методический подход к оптимизации выбора мер и средств защиты информации на объекте информатизации
Задача оптимизации выбора мер и средств защиты информации при общей ее постановке является традиционной [55, 56, 87]. Вместе с тем в данном случае имеются ряд особенностей, связанных с видом целевой функции, рассчитываемой в виде нечеткого числа, и с вводимыми ограничениями. Кроме того, при постановке и решении таких задач на практике могут отсутствовать ряд сведений о динамике реализации угроз безопасности информации, что приводит к необходимости изыскания способов парирования возникающих неопределенностей, связанных с отсутствием указанных сведений.
При традиционном подходе, когда имеется вся необходимая информация об угрозах безопасности информации, возможных мерах и средствах защиты от них можно сформулировать три постановки задачи оптимального выбора мер и средств защиты.
Первая постановка соответствует случаю, когда задается требуемая эффективность защиты информации и эта эффективность обеспечивается выбором мер и средств при минимальных затратах на защиту информации [55]: где r]Jlf{t) - степень (уровень) защищенности информации на объекте, г}ЗИзад{$) заданное значение уровня защищенности информации на объекте, С - стоимость набора средств защиты, Сj -стоимость у-го средства защиты.
Отличие такой постановки задачи оптимизации от известных [55] состоит в том, что целевая мультипликативная функция может представлять собой нечеткую величину, рассчитываемую по формуле (из гл. 2). Вследствие этого алгоритм ее решения должен быть модифицирован путем введения вместо обычных операций при расчете значений целевой функции операций, соответствующих правилам теории нечетких множеств. В настоящее время для применения изложенного в данной работе методического подхода к учету динамики реализации угроз безопасности необходимо разработать достаточно объемное методическое обеспечение, основанное на наборе статистики возникновения и реализации различных угроз безопасности информации на разных объектах информатизации. В настоящее время такая статистика отсутствует, что исключает возможность прямого расчета вероятностей реализации угроз для конкретных объектов информатизации. Для парирования сложностей, связанных с отсутствием необходимых исходных данных, подход, основанный на следующих ограничениях и допущениях: 1)для оценки эффективности защиты информации выбирается такой период времени, в течение которого без мер защиты любая актуальная угроза реализуется с вероятностью, близкой к единице; 2) любая мера защиты вносит аддитивный статистически независимый от других мер вклад в снижение вероятности реализации угрозы безопасности информации; 3)с течением времени влияние меры (средства) защиты на эффективность защиты не меняется.
В этом случае показатель эффективности - степень защищенности может и быть представлен в виде функции r\(f) = /([JK АИ А ]) гДе ew коэффициент, и=\ показывающий, во сколько раз снижается вероятность реализации и -ой угрозы при применении v -го средства (меры защиты). Назовем эти коэффициенты коэффициентами эффективности каждого средства (меры защиты) В явном виде указанная зависимость с учетом соотношения (2.41) в первом приближении может быть представлена в следующем виде:
Схема решения оптимизационной задачи и обоснования требований к составу мер и средств защиты будет выглядеть следующим образом (рис. 3.2.): Задание уровня эффективности ЗИ на объекте Г)Жмд({) (ввод ограничений) X Формирование набора компонентов СЗИ Определение значенийкоэффициентовэффективности возможныхкомпонентов СЗИ Определение стоимостивозможныхкомпонентов СЗИ Формирование целевой функции _ і нет Корректировка условия (набора компонентов СЗИ) і Решение оптимизационной задачи выбора средств СЗИ Вывод полученного варианта СЗИ
Схема решения оптимизационной задачи выбора мер и средств защиты и обоснования соответствующих требований к СЗИ при первой постановке задачи.
На первом этапе вводятся ограничения решаемой задачи - задается требуемый уровень защищенности (требуемая степень защищенности) информации на объекте, который необходимо достичь. Затем определятся множество возможных мер и средств защиты, которыми возможно оперировать при проектировании СЗИ. Для каждого возможного компонента определяется его коэффициент эффективности (это могут быть как чисто экспертные оценки, так и полученная как с реальных объектов, так и с моделей статистика или определенные другими путями числовые значения эффективности средства защиты) и значение финансовых затрат при его применении в СЗИ. Таким образом, определяется набор компонентов СЗИ и целевая функция оптимизационной задачи.
Следующим этапом производится собственно решение оптимизационной задачи математического программирования относительно определенной целевой функции и в указанных ограничениях. Полученный результат анализируется на применимость, и, в случае неудовлетворительности, производится корректировка условия задачи относительно набора компонентов СЗИ. Сформированное условие с новыми данными снова оптимизируется.
Апробация экспертной системы оценивания эффективности защиты информации в системах электронного документооборота
Для апробации экспертной системы оценивания эффективности защиты информации в системах электронного документооборота была подготовлена на экспертной основе необходимая база данных, основные реляционные таблицы которой приведены в приложении. В качестве объекта исследования был принят типовой объект - предприятие, имеющее локальную компьютерную сеть с выходом в сеть общего пользования типа Internet.
Локальная сеть развернута по схеме "звезда" по технологии Ethernet с одним сервером и концентратором и содержит пять лучей с 6-7 компьютерами в каждом. В качестве сетевого протокола используется TCP/IP. Сервер размещен в отдельном защищенном помещении и используется как файл-сервер и сервер СУБД. На файл-сервере расположена локальная база данных общего пользования. Используется лицензированная локальная СУБД типа Paradox. В базе данных имеются записи, конфиденциальность которых оценивается по 4-му уровню важности. В качестве сетевой операционной системы используется Windows-NT 4.0. Установлены все сетевые службы для обеспечения электронного документооборота через сеть InterNet. Все компьютеры сети оборудованы приводами накопителей на гибких магнитных дисках и CD-ROM. Сведения о защищаемой информации включают в себя следующее.
На объекте информатизации отсутствует информация, составляющая государственную тайну. Вместе с тем имеется конфиденциальная информация, подлежащая защите, а также информация, целостность и доступность которой должна быть обеспечена в интересах устойчивого функционирования объекта (системные драйверы, исполняемые файлы, Office-2000).
По результатам экспертизы установлено, что на сервере и компьютерах сети имеется конфиденциальная информации 4-го уровня важности, а также информация, важность которой с позиции обеспечения целостности и доступности отнесена к 1-му уровню.
Исходные данные об актуальных угрозах безопасности информации на объекте информатизации сводятся к следующему: источниками угроз безопасности информации являются конкуренты, сотрудники, работающие на объекте и криминальные элементы; этим звеньям и источникам угроз соответствуют актуальные угрозы, приведенные в табл. П.8.
Исходные данные о мерах и средствах защиты информации включают в себя следующее. Здание охраняется по периметру. Для доступа на территорию и в здание введен контрольно-пропускной режим. Автоматическая система сигнализации о проникновении на территорию объекта посторонних лиц отсутствует. В каждой комнате здания установлены кодовые замки на входных дверях и повешены шторы на окнах. В выделенных помещениях в телефонные аппараты установлены блокирующие конденсаторы. На сервере администратором введено разграничение доступа пользователей к файлам и директориям, контроль доступа осуществляется операционной системой по идентификаторам и паролям.
Вынос носителей за пределы здания возможен только по специальному разрешению.
Предполагается ввести дополнительные меры защиты информации: - установить средства контроля вскрытия аппаратуры; - инсталлировать сетевую СУБД и ввести разграничение доступа к записям базы данных, данные по 4-му уровню конфиденциальности зашифровать; - ввести использование только зарегистрированных съемных носителей с меткой, установить на каждый компьютер специальную программу блокирования привода для гибких магнитных дисков при вводе "чужого" (без метки) носителя; - ввести специальную программу блокирования действий пользователя при попытке изменения файлов, которые с позиции обеспечения целостности и доступности относятся к 1-му уровню важности; - установить на сервере резидентную программу обнаружения программно-математических воздействий (программных вирусов).
Коэффициенты влияния мер и средств защиты на вероятности реализации угроз приведены в приложении, табл. П.8.
Результаты оценки по методике.
Результаты расчета степени защищенности информации в системе электронного документооборота без мер и средств ЗИ и в условиях ЗИ в виде графика зависимости функции принадлежности нечеткого числа от значения показателя приведены на рис. 4.5.