Содержание к диссертации
Введение
ГЛАВА 1. Методы оценки рисков нарушения информационной безопасности 10
1.1. Сравнительный анализ методов оценки рисков нарушения информационной безопасности 11
1.1.1. Табличный метод 12
1.1.2. Метод анализа иерархий 13
1.1.3. Модель системы защиты с полным перекрытием Клементса 15
1.1.4. Сравнительный анализ средств оценки рисков нарушения информационной безопасности 17
1.2. Выводы 21
1.3. Расширение модели системы защиты с полным перекрытием 24
ГЛАВА 2. Логический язык описания рисков нарушения информационной безопасности 27
2.1. Требования к языку описания рисков нарушения информационной безопасности компьютерной системы 27
2.2. Структура языка описания рисков нарушения информационной безопасности 30
2.3. Выводы 55
ГЛАВА 3. Методика построения системы защиты с использованием языка описания рисков 56
3.1. Этапы методики 56
3.2. Шкала оценки рисков нарушения информационной безопасности 60
3.3. Выбор функций принадлежности 61
3.4. Выводы 62
ГЛАВА 4. Построение системы защиты информации и оценка рисков на примере компьютерной системы с мобильным сегментом 64
4.1. Компьютерная система с мобильным сегментом 64
4.1.1. Архитектура компьютерной системы 64
4.1.2. Модель нарушителя компьютерной системы с мобильным сегментом 66
4.1.3. Угрозы информационной системы с мобильным сегментом 67
4.2. Внесение в систему шлюза разграничения доступа 71
4.3. Составление спецификации системы на языке описания рисков и оценка рисков нарушения информационной безопасности 81
4.4. Оценка зависимости риска от вероятности реализации угроз 96
4.5. Выводы 101
Заключение 102
Список литературы 103
- Сравнительный анализ средств оценки рисков нарушения информационной безопасности
- Структура языка описания рисков нарушения информационной безопасности
- Внесение в систему шлюза разграничения доступа
- Оценка зависимости риска от вероятности реализации угроз
Введение к работе
В настоящее время обеспечение информационной безопасности компьютерных систем является одним из приоритетных направлений развития сетевой инфраструктуры организаций. Ввиду усложнения компьютерных систем и увеличения числа угроз возникает потребность в оценке информационной безопасности систем.
Оценка рисков нарушения информационной безопасности является одной из важнейших составляющих процесса управления информационной безопасностью (ГОСТ 15408) [70]. Согласно ГОСТ 17799 оценка информационной безопасности определяется как систематический анализ вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопасности, с учетом возможных последствий от потери конфиденциальности, целостности или доступности информации или других активов или вероятности наступления такого нарушения с учетом существующих угроз и уязвимостей, а также внедренных мероприятий по управлению информационной безопасностью [1].
На практике, как правило, используется методика оценки рисков информационной безопасности, основанная на стандарте NIST 800-30. Согласно данному стандарту, система управления рисками должна минимизировать последствия от нарушения информационной безопасности, и обеспечить выполнение основных бизнес-процессов организации. Для этого система управления рисками интегрируется в систему управления жизненным циклом информационных технологий организации.
Риск - это потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов (ГОСТ Р ИСО/МЭК 13335-1-2006) [2].
В абсолютном выражении риск может определяться величиной возможных потерь в материально-вещественном или денежном измерении в рублях [27,73]. В относительном выражении риск определяется как величина
возможных потерь, отнесенная к некоторой базе, в виде которой наиболее удобно принимать либо имущественное состояние предпринимателя, либо общие затраты ресурсов на данный вид деятельности, либо ожидаемую прибыль. В дальнейшем в работе риск измеряется в рублях.
Разработка новой или модернизация существующей компьютерной системы тесно связана с разработкой системы защиты информации. При этом необходимо учитывать связь между рисками нарушения информационной безопасности, угрозами, вероятностью их реализации, ущербом и преимуществами от использования средств защиты информации. Для анализа безопасности необходимо разработать метод, который позволит оценить как риски компьютерной системы с учетом множества атрибутов, так и проверить выполнение требований политики информационной безопасности.
Таким образом, актуальной является задача обоснования варианта системы защиты как для существующей, так и для разрабатываемой компьютерной системы. При этом требуется оценить как влияние средств защиты информации на вероятность реализации угроз, так и на затраты, необходимые для ликвидации последствий от реализации угроз.
Представляется возможным для оценки рисков нарушения информационной безопасности компьютерной системы и оценки влияния средств защиты на снижение риска использовать существующие методики оценки рисков, например, CRAMM, NIST. Однако они обладают рядом ограничений. Например, не позволяют выбрать систему защиты информации в соответствии с заданными требованиями. Распространенные методики используют для оценки рисков метод, основанный на модели системы защиты с полным перекрытием Клементса (1), в соответствие с которой риск - это сумма произведений вероятностей каждого из негативных событий на величину ущерба от них:
R= S{P(T1)*W(Ti)b (1)
1=1
где P(Tj) - вероятность реализации угрозы Tj, W(Tj) - ущерб, нанесенный в результате реализации угрозы Tj. N - число угроз [5], [10].
Подобные методики не позволяют производить оценку системы защиты информации с учетом различных ограничений. Серьезным ограничением существующих методик является невозможность или трудность в определении и учете новых атрибутов угроз, ресурсов и средств защиты.
В диссертационной работе предлагается метод по построению системы защиты информации, основанной на оценке рисков нарушения информационной безопасности с использованием языка описания рисков. Метод реализован в методике, которая позволяет, как построить систему защиты, так и оценить риски нарушения информационной безопасности компьютерной системы с учетом множества атрибутов.
Целью работы является оценка возможных затрат на построение системы защиты путем разработки специализированного логического языка описания рисков информационной безопасности, позволяющего сравнить варианты систем защиты, исходя из ограничений на риски, в соответствии с требованиями политики информационной безопасности, возможных угроз и допустимых затрат на создание системы защиты.
Для достижения поставленной цели в работе решались следующие задачи:
Разработка модели, связывающей оценку рисков нарушения информационной безопасности, с детализированным описанием компьютерной системы, набора угроз, функций и средств защиты.
Разработка и реализация логического языка описания рисков, позволяющего принимать решения о допустимом значении риска, исходя из описания системы, угроз и средств защиты информации.
Разработка методики оценки рисков, основанной на предложенном
языке и позволяющей учесть степень опасности угроз и влияния средств защиты на риски в компьютерной системе.
4. Разработка методики анализа вариантов системы защиты информации, основанной на языке описания рисков, и позволяющей выбрать средства защиты информации в соответствии с требованиями политики информационной безопасности, с учетом множества атрибутов.
Для решения поставленных задач использовались системный анализ, методы моделирования рисков и нечеткой логики.
Научная новизна диссертационной работы состоит в следующем:
Разработана модель, позволяющая спрогнозировать риски нарушения информационной безопасности при применении системы защиты.
Разработан и реализован логический язык описания рисков нарушения информационной безопасности компьютерной системы, который позволяет задать формальное описание компьютерной системы, требования информационной безопасности, а также автоматизировано выполнить оценку рисков для варианта системы защиты с учетом множества атрибутов.
Разработана методика принятия решений по вариантам построения системы защиты с учетом требований информационной безопасности и ограничений на риски.
Разработана автоматизированная методика построения системы защиты на базе логического языка описания рисков, учитывающая требования политики информационной безопасности и ограничения на риски.
Практическая ценность работы определяется возможностью использования полученных результатов для формирования системы защиты информации и оценки рисков нарушения информационной безопасности. Предложенная методика построения системы защиты и проведения оценки рисков нарушения информационной безопасности с использованием языка описания рисков, позволяет решать следующие основные задачи:
Оценивать риски в компьютерной системе на основе угроз, ущерба от реализации угроз, различных атрибутов, описывающих систему, а также требований политики информационной безопасности.
Обосновывать состав системы защиты информации в компьютерных системах на этапе проектирования или эксплуатации.
Формализовывать спецификацию компьютерной системы с учетом угроз, средств защиты информации, требований политики информационной безопасности.
Практическая ценность и новизна работы подтверждаются двумя актами внедрения: от ЗАО "СПбРЦЗИ" (результаты использованы при разработке методик формирования систем защиты), от кафедры "Информатика и информационная безопасность" ПГУПС (результаты применены в учебном процессе кафедры).
Основные положения, выносимые на защиту.
Сокращение времени анализа вариантов системы защиты информации в компьютерной системе.
Логический язык описания рисков нарушения информационной безопасности, позволяющий сравнивать системы защиты информации и учитывать последствия реализации угроз.
Оценка рисков нарушения информационной безопасности с учетом множества атрибутов.
Описание системы с учетом требований политики информационной безопасности и рисков, существующих в системе.
Методика построения системы защиты информации и оценки рисков нарушения информационной безопасности компьютерной системы на основе языка описания рисков, позволяющая выбрать состав системы защиты согласно заданным требованиям.
Диссертация состоит из введения, четырех глав, заключения и списка литературы.
В первой главе проведен сравнительный анализ методов и
программных средств оценки рисков нарушения информационной безопасности, в результате чего предложен метод оценки рисков, основанный на использовании декларативного языка описания рисков. Сформулирована постановка задачи, состоящая в формировании системы защиты с учетом требований политики информационной безопасности.
Во второй главе представлен анализ языков описания информационной безопасности компьютерных систем и приведен предложенный автором логический язык описания рисков нарушения информационной безопасности.
В третьей главе на основе разработанного языка приводится методика построения системы защиты и оценки рисков нарушения информационной безопасности.
В четвертой главе приведен пример использования разработанной методики для построения системы защиты и оценки рисков нарушения информационной безопасности в компьютерной системе с мобильным сегментом.
В заключении приведены результаты и выводы, полученные автором в ходе выполнения работы.
ущерба от их реализации.
Теоретической и методологической базой исследования являются работы таких видных отечественных и зарубежных ученых в области информационной безопасности, как В. А. Галатенко, А. А. Грушо, А.А.Малюк, А.Г. Остапенко, С.А. Петренко, Л. Хоффман, Ф. Кломан и др.
Для защиты компьютерных систем предлагается большое количество разнообразных средств обеспечения информационной безопасности. Важно учитывать специфику рассматриваемых компьютерных систем, влияющую на эксплуатацию средств защиты. Требуется разработка методики, которая позволит оценить риски нарушения информационной безопасности и выбрать систему защиты с учетом требований политики информационной безопасности и ограничений на риски.
В качестве основы методики необходимо выбрать метод, который позволит формализовать описание компьютерной системы, угроз, средств защиты информации и требований политики информационной безопасности, позволит выполнить проверку полноты и непротиворечивости описания. Для этого необходимо обеспечить автоматизацию и формализацию процесса оценки, что требует рассмотрения существующих методов оценки рисков нарушения информационной безопасности для выбора наилучших параметров.
1.1. Сравнительный анализ методов оценки рисков нарушения информационной безопасности
Для того чтобы определить метод оценки рисков нарушения информационной безопасности, который позволит разработать формальное описание компьютерной системы и оценить риски с учетом средств защиты информации, учесть множество атрибутов, предлагается проанализировать наиболее распространенные методы оценки рисков.
1.1.1. Табличный метод
Табличный метод основан на использовании таблицы, определяющей уязвимости и угрозы, воздействующие на ресурсы. Количественные и качественные показатели оцениваются с использованием шкал. Качественные оценки применяются в случаях, когда количественные оценки затруднены. Относящиеся к каждому типу негативных воздействий уровни рисков, соответствующие показателям ценности ресурсов, а также показателям угроз и уязвимостей, оцениваются при помощи таблицы [3]. Количественный показатель риска определяется в фиксированной шкале. Для каждого ресурса рассматриваются уязвимости и угрозы. Строки определяются показателем ресурса, а столбцы - степенью критичности угрозы и уязвимости. Метод наглядно демонстрирует связь всех компонентов, участвующих в оценке рисков - угроз, уязвимостей, ресурсов и других. Риски рассчитываются по формуле (1). При использовании данного метода необходимо предварительно собрать достаточное количество информации об исследуемой системе для последующего анализа. Это довольно трудоемкий процесс и корректность результата в большей мере зависит от проведенных исследований до начала составления таблицы. Ввиду произвольности составления таблиц, табличный метод не обладает полнотой при описании системы и при его использовании могут быть получены противоречивые данные.
Рассмотрим пример оценки рисков по двум факторам [3]. В таблице можно наглядно отразить связь факторов негативного воздействия и вероятностей реализации угрозы.
На первом этапе оценивается негативное воздействие по заранее определенной шкале, например, от 1 до 5, для каждого ресурса.
На втором этапе по заданной шкале, например, от 1 до 5, оценивается вероятность реализации каждой угрозы.
На третьем этапе вычисляется показатель риска (табл. 1). В
простейшем варианте методики это делается путем перемножения вероятности реализации угрозы на ущерб от ее реализации. Операция перемножения определена только для количественных шкал.
Таблица 1
Табличный метод оценки рисков
Таким образом, можно сравнивать и ранжировать угрозы с различными негативными воздействиями и вероятностями реализации. При необходимости дополнительно могут приниматься во внимание стоимостные показатели.
1.1.2. Метод анализа иерархий
Метод анализа иерархий является частным случаем экспертного метода, в рамках которого исследование сложных систем сводится к последовательности попарных сравнений компонент данных систем [7]. Иерархия в этом случае представляет систему уровней, каждый из которых состоит из многих элементов или факторов. Структура представляет собой объединение множества элементов, отражающих сложную конструкцию, в группы в соответствии с распределением некоторых свойств между элементами. В методе анализа иерархий выделяется влияние отдельных
факторов нижнего уровня иерархии на вершину. Неравномерность влияния по всем факторам приводит к необходимости определения интенсивности влияния или приоритетов факторов.
При использовании метода анализа иерархий должны измеряться все важные количественные и качественные факторы. Метод следует применять только тогда, когда эти факторы измерены объективно, в полном объеме, значения показателей непротиворечивы, результаты задач принятия решений однозначны и соответствуют мнению эксперта. В противном случае возможны ошибки при оценке рисков нарушения информационной безопасности [8].
В качестве примера использования метода иерархий можно выделить построение дерева угроз. Разработка дерева угроз начинается с абстрактного описания полного множества угроз системы, а затем итеративным образом выполняется детализация подмножества этого множества [9].
Первое описание абстрактной угрозы изображается в виде корня дерева, а последующие уровни соответствует множеству новых узлов, связанных с корнем. Каждый из этих узлов затем становится корнем какого-то поддерева, соответствующего подмножеству полного множества угроз. На заключительной стадии каждый лист такого дерева даст описание конкретной угрозы. Положительной стороной этого подхода является рациональность каждой выявленной угрозы и возможность вычислений на дереве угроз. Недостатком дерева угроз является то, что при детализации угроз на нижних уровнях происходит составление произвольного списка угроз, нарушающее свойство полноты данного подхода.
Рис. 1. Структура дерева угроз
Данный метод является наглядным, так как позволяет исследовать систему не только комплексно, но и с точки зрения ее компонентов. Недостатком является то, что анализ всей системы может оказаться некорректным из-за необъективной оценки какого-либо параметра в отдельности.
1.1.3. Модель системы защиты с полным перекрытием Клементса
В настоящее время классическая модель системы защиты с полным перекрытием Клементса (рис. 2) использует математический аппарат для оценки рисков информационной системы [10]. При этом двумя входными параметрами являются вероятности реализации угроз и величины ущерба от реализации угроз. Из преимуществ данного подхода можно отметить непротиворечивость и полноту (на пути каждой угрозы есть средство защиты).
Ресурсы
Угрозы
Средства защиты
Рис. 2. Модель системы защиты с полным перекрытием Клементса
Множества угроз (7), ресурсов (С) и средств защиты (S) образуют трехдольный граф. В защищенной системе все ребра представляются в виде <Т{ Sk> и
Рассмотрим базовую систему обеспечения безопасности Клементса, представляющую собой пятикортежный набор S= [С, Т, S, V, В}, где С - набор защищаемых объектов; Г-набор угроз;
S - набор средств обеспечения информационной безопасности; V - набор уязвимых мест - отображение ТхС на набор упорядоченных пар Vi=
В - набор барьеров - отображение VxS или TxCxS на набор упорядоченных троек bi = <Т[, Cj, Sk>, представляющих собой точки, в которых требуется осуществлять защиту в системе.
Система с полным перекрытием - это система, в которой имеются средства защиты на каждый возможный путь проникновения. В такой системе <Г„ Cj> є V предусматривает
Положительным свойством данного метода является его простота, которая заключается в том, что для оценки риска используется всего два параметра - стоимость ресурса и вероятность реализации угроз.
Среди недостатков данного метода выделяют отсутствие выразительности (т.е. нет инструментария для составления спецификации системы - все основано на теории множеств). Также с использованием данного метода невозможно оценить влияние различных атрибутов угроз, ресурсов и средств защиты на риск нарушения информационной безопасности компьютерной системы.
1.1.4. Сравнительный анализ средств оценки рисков нарушения информационной безопасности
В современных программных средствах оценки рисков нарушения информационной безопасности используются в основном методы оценки рисков, упомянутые выше:
табличные методы;
экспертные методы;
методы анализа иерархий
статистические методы;
методы, основанные на модели системы защиты Клементса;
различные комбинации методов оценки рисков.
Среди программных средств оценки рисков нарушения информационной безопасности выделяют Risk Watch (США), CRAMM (Великобритания), COBRA (Великобритания), "АванГард" (Россия), ГРИФ (Россия), КОНДОР+ (Россия) [3, 11-14].
В программном пакете RiskWatch рассматриваются риски в сфере информационной и физической безопасности компьютерных сетей. Выполняется количественная оценка соотношения потерь от угроз информационной безопасности и оценка затрат на создание системы защиты. Содержит требования стандарта ISO 17799 [12].
RiskWatch базируется на методике, состоящей из этапов:
первый этап — определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы (типы оборудования, приложений и информации), базовые требования по информационной безопасности;
второй этап — ввод данных, характеризующих основные параметры системы. На этом этапе подробно описываются ресурсы, потери и классы инцидентов. Задаются частота возникновения угрозы, степень уязвимости и ценность ресурсов для расчета эффекта от внедрения средств защиты;
третий этап — количественная оценка. Выполняется оценка рисков, выбираются средства защиты информации. Риск оценивается с помощью математического ожидания потерь за год. Используя сравнение ожидаемых потерь при наличии средств защиты и без них, можно оценить эффективность использования средств защиты.
В RiskWatch применяется комбинация табличного и экспертного методов [3].
Программное средство CRAMM реализует одноименную методику, которая была разработана компанией BIS Applied Systems Limited по заказу британского правительства. Методика CRAMM позволяет производить анализ рисков и обследование информационной системы, проводить аудит в
соответствии с требованиями стандарта BS 7799, разрабатывать политики информационной безопасности [11, 12].
Методика CRAMM опирается на оценки качественного характера, получаемые от экспертов, и строит на их основе количественную оценку. Учитывается экономическая составляющая в управлении рисками.
В соответствии с методикой CRAMM, процесс оценки рисков проходит в несколько стадий. На первой стадии составляется формализованное описание информационной системы, ее основных функций, категорий пользователей. На стадии идентификации и оценки ресурсов, описывается и анализируется все, что касается идентификации и определения ценности ресурсов системы. Стадия оценивания угроз и уязвимостеи не является обязательной, если заказчика удовлетворит базовый уровень безопасности. На стадии управления рисков, производится выбор адекватных контрмер [3].
Достоинства метода CRAMM: хорошо структурированный и широко опробованный метод анализа рисков; может использоваться на всех стадиях проведения аудита информационной безопасности компьютерных систем; в основе лежит база знаний по контрмерам в области информационной безопасности; данный метод позволяет разрабатывать план по обеспечению непрерывной работы. Среди недостатков CRAMM выделяют необходимость высококвалифицированного аудитора для его применения. Оценка рисков по CRAMM занимает длительное время, что не всегда приемлемо [13].
В системе CRAMM используются табличный и экспертный методы оценки рисков нарушения информационной безопасности.
Система COBRA предназначена для анализа рисков и оценки информационной системы стандарту ISO 17799 [11]. Реализует методы количественной оценки рисков в сочетании с экспертным методом и содержит обширную базу знаний по угрозам и уязвимостям.
Программный продукт КОНДОР+ позволяет проверить политику информационной безопасности компании на соответствие требованиям ISO 17799 [12]. По результатам опроса эксперта создается подробный отчет,
содержащий информацию о соответствии реальной системы политике информационной безопасности и оценку рисков согласно требованиям ISO 17799. В продукте КОНДОР+ реализован метод качественной оценки рисков по шкале рисков: высокий, средний, низкий.
ГРИФ — программный комплекс анализа и контроля рисков информационных систем компаний. Учитывает около 100 параметров и позволяет оценить уровень рисков в информационной системе без привлечения экспертов. Выполняется оценка рисков для информационных ресурсов, рассчитывается суммарный риск и расчет соотношения ущерба и риска. По окончании работы формируется отчет, отражающий нарушения политики информационной безопасности [14, 15]. В ГРИФ используется методика оценки рисков, состоящая из пяти этапов:
определение ресурсов информационной системы;
определение видов информации информационной системы и ущерба по угрозам (конфиденциальности, целостности, отказа обслуживания);
определение пользовательских групп и соотнесение групп и информации, определение разграничения доступа;
определение средств защиты информации, затрат на их приобретение и эксплуатацию;
ввод ответов на вопросы по политике информационной безопасности для оценки уровня защищенности системы и детализации оценки рисков (например, риски по различным ресурсам).
Отчет содержит значения риска для каждого ресурса.
В системе ГРИФ используется и экспертный метод оценки рисков.
Комплексная экспертная система управления информационной безопасностью "АванГард" предназначена для больших территориально-распределенных автоматизированных информационных систем [16]. Основные возможности: гибкая система ввода и редактирования модели информационной безопасности предприятия, возможность построения
модели рисков, система оценки и сравнения рисков, оценка мер противодействия, построение различных вариантов комплексов мер защиты и оценка остаточного риска.
"АванГард" позволяет строить' модель угроз и модель рисков для отдельных составляющих информационной системы, построить профили защиты (например, по ГОСТ ' Р ИСО/МЭК 15408-2002), проверить выполнение требований политики информационной безопасности.
В системе "АванГард" для оценки рисков применяется сочетание табличного метода, модели системы защиты с полным перекрытием и экспертного метода оценки рисков.
1.2. Выводы
С целью определения метода оценки рисков нарушения информационной безопасности, который будет реализовать выразительность, позволит учесть различные атрибуты компьютерной системы, был проведен анализ рассмотренных методов оценки рисков. В результате было установлено, что большинство из них учитывает всего несколько атрибутов компьютерной системы, в то время как является актуальной задача оценки рисков нарушения информационной безопасности с учетом множества атрибутов угроз, ресурсов и средств защиты информации.
Результаты анализа программных средств оценки- рисков нарушения информационной безопасности показали, что большинство из них использует в основном комбинацию табличного и экспертного методов для оценки. Некоторые средства позволяют разработать концепцию и политику информационной безопасности системы и предложить план защиты от выявленных угроз и уязвимостей.
В результате сравнительного анализа методов и программных средств оценки рисков нарушения информационной безопасности в качестве
базового метода оценки рисков были выбраны положительные моменты, связанные с описанием модели системы защиты с полным перекрытием Клементса и экспертного метода.
При построении системы защиты информации возникает потребность в оценке рисков нарушения информационной безопасности с учетом влияния различных атрибутов угроз, ресурсов и средств защиты.
На рис. 3 представлены отношения между сущностями, участвующими при построении системы защиты и в процессе оценки рисков нарушения информационной безопасности.
Модель нарушителя
Требования к защищенности
\
V^
Требования
политики безопасности
Пользовательски е характеристики
—Определяет-
Условия выбора системы защиты
Нарушитель
Система защиты
_С нижа ют вероятность^ реализации
Угрозы
| Конфиденциальность |
[ Целостность 1
Доступность
\
\
Ущерб
/
Для—»
Ресурсы
Содержащие-
Информацию
Рис. 3. Отношения между сущностями, участвующими при построении
системы защиты и оценке рисков
Нарушитель реализует угрозы, нацеленные на информацию, хранимую
на ресурсах, защиту которых обеспечивают средства защиты информации с функциями защиты, что ведет к нанесению ущерба [33-39].
При построении системы защиты и оценке рисков нарушения информационной безопасности следует учитывать множество атрибутов. Атрибуты компьютерной системы при выборе системы защиты информации показаны на рис. 4.
Угрозы
нарушения
информационной
безопасности
Требования
политики
информационной
безопасности
Компьютерная система
Средства
защиты
информации
Затраты на
систему защиты
информации
Обобщенный риск
Убывание риска при
использовании
системы защиты
информации
Построение системы
защиты
информации
Рис. 4. Атрибуты компьютерной системы при выборе системы защиты информации
Система защиты информации состоит из различных средств защиты информации, выбор которых и формирует систему защиты.
В качестве атрибутов ресурсов могут выступать типы ресурсов, стоимость ресурсов, в качестве атрибутов угроз - типы угроз, в качестве атрибутов средств защиты - функции средств защиты, в качестве атрибутов требований политики безопасности - типы требований политики
безопасности. В работе предлагается расширение модели Клементса путем добавления множества новых атрибутов.
1.3. Расширение модели системы защиты с полным перекрытием
В связи с тем, что модель системы безопасности не учитывает предметной области, было выполнено расширение модели. С учетом расширения модели, риск R нарушения информационной безопасности по формуле (1) может быть выражен в следующем виде:
R = F[Oj( ojj, ..., ojxJ, Tiftu, ..., tiy}, Skfskl, ..., SiJ, Reqm{reqml, ..., reqmrJ], (2) где R - риск нарушения информационной безопасности компьютерной
системы;
F - оператор, задаваемый с использованием программы на декларативном
языке, поддерживающем нечеткую логику;
Oj - ресурс, О - {Ojj - множество ресурсов, ojx - атрибут ресурса Oj (тип
ресурса, стоимость ресурса), ресурс описан множеством атрибутов: Oj = {оц,
...,ojx};
Ті - угроза, Т = [TJ - множество угроз, tiy - атрибут угрозы 7} (класс угрозы,
вероятность реализации), угроза описана множеством атрибутов: 7} = ftu, ...,
чу/і
Sk - средство защиты информации, S = fSJ - множество средств защиты, ^ -атрибут средства защиты (тип средства защиты, список угроз, от которых защищает, список функций защиты, степень уменьшения риска для конкретной угрозы и т.д.), средство защиты описано множеством атрибутов:
Sk — (ski> > skJ\
Reqm - требование политики информационной безопасности, Req = {Reqmj -множество требований политики информационной безопасности, reqmr. -атрибут требования политики информационной безопасности (тип требования политики), требование политики информационной безопасности
описано множеством атрибутов: Reqm = {reqmi, ...,reqmr}.
Ресурсы
Средства защиты
Угрозы
Рис; 5. Расширение модели системы защиты с полным перекрытием
Декларативный язык программирования - язык программирования высокого уровня, построенный на описании данных и на описании искомого результата [71]. Декларативные языки подразделяются на функциональные и логические языки.
Логический язык программирования, - язык программирования, позволяющий; выполнить описание проблемы в терминах фактов и логических формул, а собственно решение проблемы выполняет система с помощью механизмов логического вывода [72] і
Таким образом, необходимо разработать декларативный язык, позволяющий реализовать оператор f для различных вычислительных систем. Язык позволит задать формальное описание компьютерной системы, угроз, требований политики информационной безопасности и средств
защиты информации. Применение нечеткой логики позволит оценить и спрогнозировать влияние вероятности реализации угроз на риск нарушения информационной безопасности в компьютерной системе.
Сравнительный анализ средств оценки рисков нарушения информационной безопасности
В современных программных средствах оценки рисков нарушения информационной безопасности используются в основном методы оценки рисков, упомянутые выше: табличные методы; экспертные методы; методы анализа иерархий статистические методы; методы, основанные на модели системы защиты Клементса; различные комбинации методов оценки рисков. Среди программных средств оценки рисков нарушения информационной безопасности выделяют Risk Watch (США), CRAMM (Великобритания), COBRA (Великобритания), "АванГард" (Россия), ГРИФ (Россия), КОНДОР+ (Россия) [3, 11-14]. В программном пакете RiskWatch рассматриваются риски в сфере информационной и физической безопасности компьютерных сетей. Выполняется количественная оценка соотношения потерь от угроз информационной безопасности и оценка затрат на создание системы защиты. Содержит требования стандарта ISO 17799 [12]. RiskWatch базируется на методике, состоящей из этапов: первый этап — определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы (типы оборудования, приложений и информации), базовые требования по информационной безопасности; второй этап — ввод данных, характеризующих основные параметры системы. На этом этапе подробно описываются ресурсы, потери и классы инцидентов. Задаются частота возникновения угрозы, степень уязвимости и ценность ресурсов для расчета эффекта от внедрения средств защиты; третий этап — количественная оценка. Выполняется оценка рисков, выбираются средства защиты информации. Риск оценивается с помощью математического ожидания потерь за год. Используя сравнение ожидаемых потерь при наличии средств защиты и без них, можно оценить эффективность использования средств защиты. В RiskWatch применяется комбинация табличного и экспертного методов [3]. Программное средство CRAMM реализует одноименную методику, которая была разработана компанией BIS Applied Systems Limited по заказу британского правительства. Методика CRAMM позволяет производить анализ рисков и обследование информационной системы, проводить аудит в соответствии с требованиями стандарта BS 7799, разрабатывать политики информационной безопасности [11, 12].
Методика CRAMM опирается на оценки качественного характера, получаемые от экспертов, и строит на их основе количественную оценку. Учитывается экономическая составляющая в управлении рисками.
В соответствии с методикой CRAMM, процесс оценки рисков проходит в несколько стадий. На первой стадии составляется формализованное описание информационной системы, ее основных функций, категорий пользователей. На стадии идентификации и оценки ресурсов, описывается и анализируется все, что касается идентификации и определения ценности ресурсов системы. Стадия оценивания угроз и уязвимостеи не является обязательной, если заказчика удовлетворит базовый уровень безопасности. На стадии управления рисков, производится выбор адекватных контрмер [3].
Достоинства метода CRAMM: хорошо структурированный и широко опробованный метод анализа рисков; может использоваться на всех стадиях проведения аудита информационной безопасности компьютерных систем; в основе лежит база знаний по контрмерам в области информационной безопасности; данный метод позволяет разрабатывать план по обеспечению непрерывной работы. Среди недостатков CRAMM выделяют необходимость высококвалифицированного аудитора для его применения. Оценка рисков по CRAMM занимает длительное время, что не всегда приемлемо [13].
В системе CRAMM используются табличный и экспертный методы оценки рисков нарушения информационной безопасности.
Система COBRA предназначена для анализа рисков и оценки информационной системы стандарту ISO 17799 [11]. Реализует методы количественной оценки рисков в сочетании с экспертным методом и содержит обширную базу знаний по угрозам и уязвимостям.
Программный продукт КОНДОР+ позволяет проверить политику информационной безопасности компании на соответствие требованиям ISO 17799 [12]. По результатам опроса эксперта создается подробный отчет, содержащий информацию о соответствии реальной системы политике информационной безопасности и оценку рисков согласно требованиям ISO 17799. В продукте КОНДОР+ реализован метод качественной оценки рисков по шкале рисков: высокий, средний, низкий.
ГРИФ — программный комплекс анализа и контроля рисков информационных систем компаний. Учитывает около 100 параметров и позволяет оценить уровень рисков в информационной системе без привлечения экспертов. Выполняется оценка рисков для информационных ресурсов, рассчитывается суммарный риск и расчет соотношения ущерба и риска. По окончании работы формируется отчет, отражающий нарушения политики информационной безопасности [14, 15]. В ГРИФ используется методика оценки рисков, состоящая из пяти этапов: определение ресурсов информационной системы; определение видов информации информационной системы и ущерба по угрозам (конфиденциальности, целостности, отказа обслуживания); определение пользовательских групп и соотнесение групп и информации, определение разграничения доступа; определение средств защиты информации, затрат на их приобретение и эксплуатацию; ввод ответов на вопросы по политике информационной безопасности для оценки уровня защищенности системы и детализации оценки рисков (например, риски по различным ресурсам). Отчет содержит значения риска для каждого ресурса. В системе ГРИФ используется и экспертный метод оценки рисков. Комплексная экспертная система управления информационной безопасностью "АванГард" предназначена для больших территориально-распределенных автоматизированных информационных систем [16]. Основные возможности: гибкая система ввода и редактирования модели информационной безопасности предприятия, возможность построения модели рисков, система оценки и сравнения рисков, оценка мер противодействия, построение различных вариантов комплексов мер защиты и оценка остаточного риска.
Структура языка описания рисков нарушения информационной безопасности
В соответствии с положениями, описанными в предыдущей главе, для формального описания информационной безопасности компьютерной системы с учетом рисков требуется разработка языка, который позволит описать разграничение доступа, угрозы, воздействующие на систему, средства защиты информации и требования политики информационной безопасности.
Язык должен иметь математический аппарат, реализовывать формальное описание и выводы, поддерживать нечеткую логику, и обладать универсальностью по отношению к компьютерным системам, то есть задавать описание системы на уровне субъектов и объектов. Таким образом, были сформулированы требования к языку описания рисков: 1. Основываться на математическом аппарате, учитывающем различные атрибуты системы при оценке системы защиты информации и оценке рисков нарушения информационной безопасности. 2. Поддерживать формальное описание компьютерной системы и правила логического вывода. 3. Поддерживать нечеткую логику ввиду неоднозначности описания рисков системы. 4. Производить оценку рисков нарушения информационной безопасности компьютерных систем. С целью выбора основы для разрабатываемого языка были проанализированы наиболее распространенные языки, используемые при описании безопасности системы. Одним из требований к языку выступает универсальность по отношению к компьютерным системам, то есть язык должен позволять задавать описание системы на уровне субъектов и объектов. Было выделено три класса языков: языки, используемые при верификации систем, основанные на формальных методах, языки на базе UML, языки, основанные на XML, а также языки, основанные на логике первого порядка [17-26].
Формальные методы проверки спецификации системы - PVS, ACL2 [17, 18]. Это так называемые "доказатсли теорем", используемые для автоматизации процесса доказательства свойств системы. Представляют собой программное обеспечение, проводящее формальную дедукцию на основе комбинации эвристик и непосредственного поиска. Другим видом программного обеспечения, используемого при формальном анализе систем, являются "контроллеры доказательств" - программы, позволяющие пользователю проводить последовательность шагов в процессе логических выводов о свойствах системы, но проверяющие корректность каждого шага. Преимуществом является мощность при формальном доказательстве информационной безопасности компьютерной системы, основанная на математическом аппарате. Ввиду недостаточной выразительности спецификации реальных систем становятся сложными [9].
Языки на базе UML, связанные с разработкой системы. Логический язык ArchiTRIO - формальный язык для описания архитектуры системы был разработан в политехническом университете Милана для формализации UML-диаграмм [19]. Преимуществами является формальное описание UML-диаграмм, возможность использования для получения прототипа реальной системы, хорошая выразительность. Недостатком является отсутствие аппарата формальных выводов.
Языки описания политик информационной безопасности. Подобные языки ориентированы на разграничение доступа и не учитывают угрозы компьютерной системы и средства защиты информации. Язык описания политик информационной безопасности SecPAL - спецификация децентрализованной авторизации был разработан компанией Microsoft для среды распределенных вычислений и базируется на XML [20]. Спецификация политики информационной безопасности состоит из абстрактных типов и логических выражений, определяющих правила контроля доступа субъектов к объектам. Недостатком является то, что язык не универсален по отношению к описываемой системе.
Язык описания политик информационной безопасности базируется на логическом языке Пролог и позволяет специфицировать различные политики безопасности на прикладном уровне, выражать правила разграничения доступа [21-26]. Достоинствами языка являются выразительная способность при описании политики безопасности, возможность автоматизированной проверки выполнения правил политики безопасности и использование логики предикатов первого порядка, которая хорошо изучена. Недостатком является то, что язык не позволяет описать угрозы, функции защиты и требования по информационной безопасности.
В диссертации был разработан язык описания рисков с целью формального описания системы с учетом угроз, функций защиты и моделей нарушителей, основанный на логике предикатов первого порядка с применением нечеткой логики. Разработанный язык учитывает специфику предметной области, средства защиты информации, угрозы, воздействующие на компьютерную систему, требования политики информационной безопасности и ограничения на риски.
Для решения задачи оценки рисков нарушения информационной безопасности компьютерной системы с использованием нечеткого логического вывода следует выполнить последовательность действий: определение входных и выходных переменных; задание для всех переменных функций принадлежности; составление базы правил нечеткого логического вывода. Правила определяют отношения между входными и выходными переменными. выполнение расчетов. Существует несколько алгоритмов нечеткого логического вывода. Наиболее распространенными являются: алгоритм Мамдани и Тагаки-Сугэно. Преимущество алгоритма Такаги-Сугено в сравнении с алгоритмом Мамдани состоит в том, что позволяет задать несколько правил нечеткого логического вывода вместо большого количества правил. В следующих параграфах рассматривается структура предлагаемого в настоящей работе языка.
Внесение в систему шлюза разграничения доступа
На основании угроз, возникающих при взаимодействии фиксированного и мобильного сегментов формулируются следующие требования к решению: сокращение объема информации, к которой предоставляется единовременный доступ; снижение ценности информации, передаваемой в эфире; вынесение обработки данных на серверную сторону; сокращение угроз расширения прав на ресурсе; уменьшение объема информации, хранимой на мобильном клиенте. При проектировании системы защиты сети, включающей мобильный сегмент, необходимо учитывать специфику каждой из используемых технологий, особенности мобильных устройств, подключаемых к сети, а также структуру и топологию.
Предоставление удаленного доступа к конфиденциальной информации является актуальной задачей. Для стационарных проводных систем существуют различные решения для организации защищенного удаленного доступа. Так, например, для реализации защиты фиксированного сегмента достаточно внедрение решения VPN. Однако, ввиду трудностей, связанных с применением шифрования в корпоративной компьютерной системе, таких как ограниченность ресурсов, ограниченность полосы пропускания, предлагается создание специального узла, который выполнял бы функции авторизации, управления доступом, контроля доступа к ресурсам.
Наиболее уязвимым местом в сети является стык фиксированной и мобильной технологий. Для решения проблемы обеспечения безопасности взаимодействия фиксированного и мобильного сегментов предлагается разработка специализированного шлюза, размещение которого на стыке сегментов информационной системы сети позволило организовать защищенный удаленный доступ мобильных клиентов к конфиденциальным данным ресурсов фиксированного сегмента. Место шлюза в компьютерной системе показано нарис. 14 [61]. Преимущества использования шлюза: не происходит передачи конфиденциальной информации по открытым каналам связи; не осуществляется хранения данных на мобильных устройствах; мобильный клиент не получает единовременного доступа ко всей информации ресурса. Наряду с преимуществами шлюза, его использование накладывает некоторые ограничения: мобильный клиент получает единовременный доступ к ограниченному объему информации; при запросе информации со стороны мобильного клиента появляется дополнительная временная задержка. В соответствии с предложенным подходом к организации защищенного удаленного доступа к ресурсам становится ясно, что для реализации подхода необходим комплекс специальных средств, выполняющих функции: авторизации мобильных клиентов; обработки данных; делегирования полномочий клиентов. Для выполнения указанных задач разработана архитектура системы разграничения доступа клиентов к ресурсам фиксированного сегмента (рис. 15). Модуль запроса мобильного клиента формирует запрос на получение информации. Модуль делегирования полномочий обращается к ресурсу от имени мобильного клиента, отправившего запрос на получение информации. Правила доступа к ресурсам определяют полномочия мобильных клиентов на доступ к ресурсам. Доступ предоставляется только в том случае, если пользователь успешно прошел авторизацию и мобильному клиенту разрешены соответствующие полномочия. Модуль обработки данных выполняет обработку запрашиваемых данных в соответствии с требуемым методом и передает результат модулю формирования ответа. Для рассматриваемой системы формулируются правила доступа к ресурсам, производится разработка модулей, расположенных на ресурсах, и шлюзе. Таким образом, механизм предоставления доступа к конфиденциальным данным можно представить в виде следующей последовательности действий [64, 65]: 1. Запрос, адресованный шлюзу на предоставление доступа к данным из корпоративного ресурса фиксированного сегмента сети со стороны мобильного клиента. При этом мобильный клиент должен обладать достаточными полномочиями для осуществления доступа к ресурсу. Авторизация мобильного клиента на шлюзе. 3. Авторизация шлюза на получение доступа к корпоративному ресурсу. 4. Размещение результата обработки во временном хранилище для мобильного клиента. 5. Чтение данных мобильным клиентом. 6. Удаление данных из хранилища по окончании сеанса. Для внедрения предложенного решения по организации защищенного доступа к данным фиксированного сегмента в соответствие с рассмотренной архитектурой необходимо выполнить следующие шаги: 1. Определить ресурсы, к которым необходимо предоставлять доступ мобильным клиентам. Здесь нужно выбрать классы ресурсов, к которым требуется обеспечить доступ. Также необходимо, если требуется, разработать интерфейс доступа к ресурсу со стороны шлюза. 2. Разработать правила авторизации шлюза к ресурсам. 3. Разработать механизм авторизации мобильных клиентов на шлюзе. 4. Разработать функции обработки данных на ресурсе. 5. Разработать правила доступа клиентов к ресурсам. С целью реализации предложенного подхода необходим комплекс специальных средств, выполняющий функции: авторизация мобильных клиентов на шлюзе (делегирование полномочий мобильных клиентов); авторизация шлюза для доступа к ресурсам; задание, проверка правил разграничения доступа к ресурсам; аудита. Для выполнения указанных задач предложена архитектура шлюза разграничения доступа [64]. Предлагается включить в его состав следующие компоненты: 1. Компонент авторизации мобильного клиента на шлюзе. 2. Компонент авторизации шлюза на ресурсе. 3. Компонент передачи данных. 4. Редактор правил контроля доступа мобильных клиентов к ресурсам фиксированного сегмента. 5. Компонент аудита.
Оценка зависимости риска от вероятности реализации угроз
Зависимость риска от вероятности реализации угрозы нарушения доступности информации (меняется только вероятность реализации угрозы нарушения доступности информации, вероятности реализации угроз раскрытия информации и нарушения целостности зафиксированы - 0.9 и 0.6 соответственно) представлена на рис. 19.
Для учета зависимости риска нарушения информационной безопасности от вероятности реализации угроз нарушения конфиденциальности, целостности и доступности, при одновременном изменении вероятности реализации угроз, построим графики зависимости риска от вероятности реализации всех угроз для заданных вариантов системы защиты информации (при построении семейства графиков вероятность реализации угроз изменялась одновременно) представлены на рис. 20:
Как видно из графиков, при выборе максимального варианта системы защиты информации риск нарушения информационной безопасности компьютерной системы с мобильным сегментом - минимальный далее при высокой вероятности реализации угроз. А при использовании минимального варианта системы защиты информации риск нарушения информационной безопасности - максимальный.
Таким образом, методика построения системы защиты позволила выбрать такой состав средств защиты информации, который удовлетворил как требованиям политики информационной безопасности, так и финансовым ограничениям, а именно - получить минимальные годовые потери от реализации угроз информационной безопасности в компьютерной системе с мобильным сегментом [66-68].
В качестве примера применения методики построения системы защиты информации, основанной на оценке рисков, была рассмотрена компьютерная система с мобильным сегментом. Предложенная в главе 3 методика построения системы защиты позволила оценить различные варианты системы защиты информации с учетом множества атрибутов и оценить риски нарушения информационной безопасности. Для рассматриваемой компьютерной системы была составлена спецификация субъектов, объектов, угроз нарушения информационной безопасности, средств защиты информации и вариантов системы защиты. Далее были произведены расчеты согласно модели оценки вариантов системы защиты, в результате чего был выбран вариант, который удовлетворяет ограничениям на риски и требованиям политики информационной безопасности. Таким образом, выбор варианта системы защиты информации согласно модели позволил снизить вероятность реализации наиболее опасных угроз и ущерб от их реализации.
Использование методики построения системы защиты, основанной на языке описания рисков, позволяет рассматривать систему на уровне субъектов, объектов, угроз, требований по информационной безопасности и средств защиты информации, позволяет выбрать состав системы защиты, который удовлетворяет заданным условиям и, следовательно, обладает универсальностью.
Представленная в работе методика построения системы защиты на базе разработанного логического языка описания рисков позволяет формализовать описание компьютерной системы, выполнить оценку рисков нарушения информационной безопасности и выбрать вариант системы защиты согласно требованиям политики информационной безопасности и ограничениям на риски. В работе получены следующие основные результаты: 1. Разработана модель, связывающая оценку рисков нарушения информационной безопасности, с детализированным описанием компьютерной системы, набора угроз, функций и средств защиты. 2. Разработан и реализован логический язык описания рисков, позволяющий принимать решения о допустимом значении риска на основании описания системы, угроз и средств защиты информации. 3. Разработана методика оценки рисков, основанная на разработанном языке и позволяющая учесть степень опасности угроз и влияние средств защиты на риски нарушения безопасности в компьютерной системе. 4. Разработана методика анализа вариантов системы защиты информации, основанная на языке описания рисков. Методика позволяет выбрать средства защиты информации согласно ограничениям на риски и требованиям политики информационной безопасности, с учетом множества атрибутов. Разработанная методика построения системы защиты была применена для построения системы защиты в компьютерной системе с мобильным сегментом. Была составлена формальная спецификация с учетом угроз, воздействующих на систему, средств защиты информации, выполнен анализ различных вариантов системы защиты и произведена оценка рисков нарушения безопасности, и в результате выбран состав системы защиты.
