 |
Оценивание эффективности защиты информации
|
|
|
|
Обеспечение информационной безопасности на практике происходит в условиях случайного воздействия факторов, некоторые из которых систематизированы, например в ГОСТ Р 51275-99. Однако существуют обстоятельства, заранее неизвестные или кажущиеся несущественными при проектировании СЗИ, которые потенциально способны снизить или полностью скомпрометировать предусмотренные проектом меры информационной безопасности.
Как уже говорилось, одной из существенных проблем при проектировании и эксплуатации СЗИ является игнорирование методологии системного анализа в отношении средств и инструментов для их защиты. Кроме того, следует признать сложность, а иногда и невозможность объективного подтверждения эффективности СЗИ, что во многом определяется неполнотой нормативно-методического обеспечения информационной безопасности, прежде всего в области систем показателей и критериев.
По статистическим данным Национального отделения ФБР США по компьютерным преступлениям реальный уровень эффективности СЗИ недопустимо низок. Так, величина вероятности предотвращения несанкционированного проникновения в ИС составляет в среднем около 0,12. Уровень вероятности обнаружения нападения на корпоративные сети оценивается величиной 0,03–0,15. Для сравнения, во многих прикладных областях, где обеспечению безопасности процессов и объектов уделяется серьезное внимание, нормы безопасности, изложенные в соответствующих документах, имеют порядок 0,9.
Почти всегда нормативная база отстает от потребностей практики, и это создает между ними определенный дисбаланс. На сегодняшний день отмечается недостаточная проработанность такого аспекта нормативного обеспечения, как система показателей информационной безопасности. В неудовлетворительном состоянии находится и система критериев безопасности, которые должны обосновывать оптимальный уровень требований к характеристикам СЗИ (как качества, так и эффективности), отражая при этом стохастичную природу явлений и событий, которые возникают в процессе защиты информации, а также их экономическое содержание.
|
|
|
Решением этой проблемы является использование системного анализа, позволяющего еще на стадии проектирования количественно оценить уровень безопасности и создать механизм управления рисками. Однако этот путь реализуем при наличии соответствующей системы нормированных показателей и критериев.
Проектирование и применение СЗИ объективно связаны с неизвестными событиями в будущем и всегда содержат элементы неопределенности. Кроме того, присутствуют и другие причины неоднозначности свойств СЗИ. Поэтому этапу проектирования естественным образом сопутствует значительная неопределенность. По мере реализации проекта ее уровень снижается, но никогда эффективность СЗИ не может быть адекватно выражена и описана детерминированными показателями. Поэтому объективной характеристикой качества СЗИ может служить только вероятность, характеризующая степень объективной возможности конкретной СЗИ при заданном комплексе условий.
Использование принципов и методов системного анализа позволяет решить и такую задачу, как определение уровней гарантий безопасности. Возможным способом являются вероятностно-статистические методы, нашедшие широкое распространение в практике обеспечения безопасности во многих прикладных областях.
Следует отметить, что термин «вероятность» в контексте оценивания СИЗ имеет несколько различных значений. Наиболее часто встречаются два толкования этого слова, которые обозначаются сочетанием «объективная вероятность» и «субъективная вероятность». Под объективной (иногда называемой физической) вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему их количеству. Объективная вероятность возникает при анализе результатов большого числа наблюдений, имевших место в прошлом, а также как следствия из моделей, описывающих некоторые процессы.
|
|
|
Под субъективной вероятностью понимается мера уверенности некоторого человека или группы людей (экспертов) в том, что данное событие в действительности будет иметь место.
Как мера уверенности человека в возможности наступления события субъективная вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, неполностью заданным вероятностным распределением или бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. Именно в этом смысле мы и будем понимать субъективную вероятность в дальнейшем.
Субъективная вероятность в современных работах в области системного анализа не просто представляет меру уверенности на множестве событий, а увязывается с системой предпочтений лица, принимающего решения (ЛПР), и в конечном итоге с функцией полезности, отражающей его предпочтения на множестве альтернатив.
Использование моделей
Построение моделей при проектировании или модернизации СЗИ представляется естественным путем решения задач анализа и проектирования с минимальными затратами и высокой эффективностью.
Так, на этапе анализа модель СЗИ используется для исследования функционирования организации и документирования каждой выполняемой функции (операции), чтобы выявить, например, к какой информации и к каким ресурсам должен иметь доступ каждый сотрудник при выполнении его функциональных обязанностей.
Для проведения полного анализа рисков для информационной системы может использоваться модель, включающая: виды ценной информации, объекты ее хранения; группы пользователей и виды доступа к информации; средства защиты (включая политику безопасности), виды угроз (рис.13).
|
|
|
Рисунок 13 - Модель информационной системы
Данное системное моделирование представляет существенную алгоритмическую и математическую сложность для разработчиков. Рассмотрим это на примере ИС.
После моделирования необходимо перейти к этапу анализа защищенности построенной полной модели информационной системы. Именно здесь возникает целый комплекс теоретических и практических проблем, с которыми сталкиваются разработчики алгоритмов полного анализа рисков. Практически невозможно алгоритмически, без участия эксперта, оценить защищенность информационной системы (заметим, что речь не идет о сканировании конкретных уязвимостей в конкретном применяемом программном обеспечении) - таких систем анализа рисков сегодня не существует. Следующая проблема – как алгоритмически определить все классы уязвимостей (достаточность) в системе защиты анализируемой системы. Как оценить ущерб от всех существующих в системе угроз безопасности и как добиться адекватной оценки совокупного ущерба по всем классам угроз, избежав избыточного суммирования ущербов. И самая сложная проблема: риск - категория сугубо вероятностная – как оценить вероятность реализации множества угроз информационной системы.
Достаточно часто для частичного решения этих проблем используется модель нарушителя, определяющая:
§ мотивы нарушителя, цели, которые он преследует при совершении НСД;
§ степень воздействия на информационную среду;
§ возможные места проникновения нарушителя;
§ информационные ресурсы, доступные нарушителю;
§ оценку последствий действий нарушителя.
Чаще всего в качестве теоретической основы применяется теория игр, когда для создания защитной системы используется матрица угроз/средств защит и матрица вероятностей наступления угроз. У злоумышленника существует своя собственная матрица нападений (ценностей), в общем случае эта матрица может не совпадать с матрицей защищающейся стороны.
|
|
|
Определив основные мотивы и цели нарушителя, представляется возможным оказать влияние на эти причины, или необходимым образом скорректировать требования к системе защиты от данного типа угроз. Вопросы безопасности вычислительных систем большей частью есть вопросы человеческих отношений и человеческого поведения. При анализе нарушений защиты необходимо уделять внимание субъекту (личности) нарушителя. Устранение причин или мотивов, побудивших к нарушению, в дальнейшем может помочь избежать повторения подобного случая.
Модель может быть не одна, целесообразно использовать несколько отличающихся моделей разных типов противников информационной безопасности банка.
Для построения модели нарушителя используется информация от служб безопасности и аналитических групп о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадии передачи, обработки и хранении, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях хищения информации и т.п.
Кроме этого, оцениваются реальные оперативные технические возможности злоумышленника для воздействия на систему защиты или на защищаемый объект. Под техническими возможностями подразумевается перечень различных технических средств, которыми может располагать злоумышленник в процессе совершения действий, направленных против системы информационной защиты.
Полезной, для оценки последствий действий нарушителя, представляется классификация нарушителей безопасности. Для примера используем в качестве основания цель проникновения в информационную систему организации:
§ исследователь – удовлетворение собственного любопытства, развитие профессиональных навыков, анализ разработок т.д.;
§ конкурент – промышленный шпионаж, дискредитация конкурента, получение новых конкурентных преимуществ и т.д.
§ шантажист – получение вознаграждения за необнародование полученной информации, приобретение нематериальных преимуществ (профессиональный рост, условия контракта, служебные преференции и т.д.);
§ террорист – разрушение или применение полученной информации для экстремистских политических, экономических или экологических целей;
§ вредитель – слабомотивированное или немотивированное деструктивное воздействие на информационные ресурсы без ярко выраженной материальной или личностной заинтересованности лица.
Следует понимать, что при использовании моделей, как и любого другого инструментария, существуют определенные требования и ограничения, соблюдение которых обеспечивает эффективное решение задач анализа, синтеза и управления в системах информационной безопасности. Перечислим и кратко охарактеризуем некоторые из них:
|
|
|
§ Моделями должны пользоваться квалифицированные специалисты-профессионалы в области защиты информации, которые могли бы в каждой конкретной ситуации выбрать наиболее эффективную модель и критически оценить степень адекватности получаемых решений.
§ Модели следует использовать не просто для получения конкретных значений показателей уязвимости, а для оценки поведения этих значений при варьировании существенно значимыми исходными данными в возможных диапазонах их изменений. В этом плане модели определения значений показателей уязвимости могут служить весьма ценным инструментом при проведении деловых игр по защите информации.
§ Для оценки адекватности моделей, исходных данных и получаемых решений надо возможно шире привлекать квалифицированных и опытных экспертов.
§ Эффективное применение моделей возможно только при качественных исходных данных, необходимых для описания моделей при решении задач защиты. Существенно важным при этом является то обстоятельство, что подавляющее количество исходных данных обладает высокой степенью неопределенности. Поэтому надо не просто формировать необходимые данные, а постоянно их оценивать и уточнять.
Литература
· Голицына О.Л., Максимов Н.В., Попов И.И. Информационные системы: учеб. пособие. – М.: ФОРУМ: ИНФА-М, 2007. – 496 с.: ил. – (Высшее образование)
· Шумский А.А., Шелупанов А.А. Системный анализ в защите информации: учеб. пособие для студентов вузов, обучающихся по специальностям в обл. информ. безопасности. – М.: Гелиос АРВ, 2005. – 225 с.
· www. library. mirea. ru
· www. rucont. ru
· www.e.lanbook.com
|
|
|
