Содержание к диссертации
Введение
Глава I. Методы построения СЗИ специализированных ИС 17
1.1. Особенности построения, функционирования и защиты информации в СпецИС 17
1.1.1. Информационные активы СпецИС 18
1.1.2. Среда функционирования СпецИС 22
1.1.2.1. Изучение и документирование технологического процесса автоматизированной обработки и хранения информагщи 22
1.1.2.2. Изучение разрешительной системы доступа 24
1.1.2.3. Определяются физические условия и условия окружающей среды 27
1.1.2.4. Изучение и оценка существующих (исходных) мер защиты... 28
1.1.3. Специфика построения защищенной СпецИС 28
1.1.3.1. Оценка уровня исходной защищенности 33
1.1.3.2. Классификация АС по уровням защигценности 34 '
1.2. Угрозы безопасности информации в СпецИС 36
1.2.1. Источники угроз. Модель нарушителя 39
1.2.2. Анализ уязвимостей. Идентификация угроз 43
1.2.3. Вероятность реализации угроз и оценка опасности 48
1.2.4. Оценка актуальности угроз 50
Выводы по первой главе 51
Глава II. Концепция защиты ИС, модели безопасности, выбор механизмов защиты и методы анализа защищенности 55
2.1. Политика безопасности и модели их построения 55
2.1.1. Дискреционная политика безопасности 57
2.1.2. Мандатная политика безопасности 60
2.1.3. Политика безопасности информационных потоков 62
2.1.4. Ролевая политика безопасности (role based access control)... 63
2.2. Модели безопасности 64
2.2.1. Информационные модели 64
2.2.2. Специализированные модели 65
2.2.3. Вероятностные модели 66
2.2.4. Модели контроля целостности 67
2.2.5. Модели защиты от угроз отказа в обслуживании 68
2.3. Механизмы защиты и архитектура их применения 69
2.3.1. Идентификация ограничений 70
2.4. Оценки эффективности СЗИ и анализ защищенности 72
2.4.1. Инструментально-моделируїощие методы оценки эффективности . :73
2.4.2. Логико-аналитические методы оценки 75
2.4.1. Контрольно-испытательные методы оценки эффективности 85
Выводы по второй главе 89
Глава III. Выбор критериев, разработка методов оценки эффективности и анализа защищенности 92
3.1. Концепция защиты 92
3.1.1. Цель и замысел мероприятий по защите информации 93
3.1.2. Выбор критериев оценки 97
3.1.3. Уровень ущерба 98
3.2. Модель оценки эффективности и защищенности 102
3.2.1. Основной коэффициент эффективности 103
3.2.1. Комплексные оценки эффективности 106
3.2.1.1. Модель Ланчестера 108
3.2.1.2. Система показателей эффективности АС 111
3.2.1.3. Методы оценки эффективности АС 112
3.3. Анализ защищенности ИС. Связанный Байесовский вывод 115
3.3.1. Модель воздействия 123
3.3.2. Уровень опасности 132
Выводы по третьей главе 134
Глава IV. Архитектурные решения по построению СЗИ, практическая реализация и результаты исследований 135
Заключение (основные результаты и выводы) 153
Литература 155
- Изучение и документирование технологического процесса автоматизированной обработки и хранения информагщи
- Инструментально-моделируїощие методы оценки эффективности
- Контрольно-испытательные методы оценки эффективности
- Основной коэффициент эффективности
Введение к работе
Актуальность проблемы
С распространением информационных технологий организации становятся все более зависимыми от информационных систем и услуг, а, следовательно, все более уязвимыми по отношению к угрозам безопасности. Сетевая архитектура превратилась в распределенные вычислительные среды, где безопасность стала зависеть от всех ее элементов, так как для ее нарушения стало достаточным получить доступ к одному из них.
В особенности это стало чувствительным для ключевых систем информационной инфраструктуры (КСИИ) или, как их еще называют, критически важных информационных систем (КВИС), от безопасного функционирования которых зависит не только конфиденциальность, но и управление объектами, нарушение функционирования которых может привести к чрезвычайной ситуации или значительным негативным последствиям. При этом, с повышением оперативности выполнения задач, решаемых в КВИС, существенно снизились требования к конфиденциальности обрабатываемой информации, так как время её актуальности стало несопоставимо со временем возможной реакции и ответных действий.
КВИС, а также другие системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из категорий безопасности информации, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий), получили названия - специальные информационные системы (СпецИС). К СпецИС, также отнесены информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья граждан, а также те, в которых предусмотрено принятие на основании исключительно автоматизированной обработки решений, порождающих юридические последствия1.
Одним из наиболее важных критериев отнесения ИС к СпецИС является то, что построение их средств защиты информации (СЗИ) базируется не на типовых требованиях, установленных в зависимости от класса защищенности (безопасности) АС (ИС), а в зависимости от угроз, которые могут быть реализованы в
1 Приказ ФСТЭК, ФСБ и Мшшнформсвязи от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка классификации информационных систем персональных данных».
результате нарушения характеристик безопасности информации.
Для нейтрализации таких воздействий к СпецИС стали предъявляться новые требования по созданию систем обнаружения компьютерных атак (СОКА) или обнаружения вторжений (СОВ), анализа защищенности (САЗ) и т.д.
Одним го ключевых показателей СпецИС стала адекватность функционирования подсистемы защиты. Нарушение параметров ее адаптивной настройки, несоответствующих предметной области применения, оргструктуре, политике безопасности организации и потребностям пользователя, может привести как к нарушениям безопасности информации, так и блокировке доступа пользователей. При этом потери, как от нарушения безопасности функционирования подобных систем, так и от снижения их характеристик за счет применения средств защиты информации, могут иметь вполне реальное финансовое выражение.
Диссертация опирается на результаты работ Костогрызова А.И., Зегжды Д.П., Щербакова А.Ю., Домарева В.В., Галатенко А., а также на труды зарубежных авторов и другие источники.
Анализ показал, что имеющиеся в настоящий момент научные проработки и модели в области построения СЗИ не лишены ряда недостатков, среди которых необходимо выделить: не адекватное и не полное описание информационных процессов; слабую формализацию методов, на основе которых создаются комплексы средств защиты информации, что ведет к их избыточности и удорожанию; отсутствие алгоритмов динамического изменения уровня доступа в зависимости от уровня угрозы, создаваемой легальными пользователями; отсутствие методов регулирования параметров защиты, адаптированных к модели угроз безопасности конкретной СпецИС.
Все это приводит к отсутствию единых и достаточно универсальных подходов к решению задачи оценки эффективности СЗИ в распределенных СпецИС, что значительно усложняет сравнение различных вариантов СЗИ и обоснованный выбор приемлемого.
Таким образом, одним из важных вопросов функционирования СпецИС стали обеспечение и оценка эффективности используемых средств защиты, в итоге определяющих качество СЗИ. Эффективность СЗИ должна определяться характеристиками функций защиты, связанных не только с созданием NP-сложных барьеров их преодоления, но и не вызывающих нарушений работоспособности (т.е. отсутствием сбоев и отказов) других подсистем и характеристик. Данные факторы определяют степень пригодности средств защиты для пользо-
вателей, позволяя обеспечить необходимый уровень контроля и своевременно предотвратить возможные риски.
Этим обуславливается актуальность решения задачи разработки новых методов оценки эффективности СЗИ, создаваемых в СпецИС с целью нейтрализации актуальных угроз безопасности информации.
Цель исследований Анализ, обобщение и систематизация фактов о сложившейся практике управления эффективным применением СпецИС и выявляемых нарушениях, синтез новых методов оценки эффективности СЗИ, позволяющих моделировать события, связанные с прогнозированием возможных последствий от инцидентов информационной безопасности, а также устанавливать причинно-следственные связи между ними и вырабатывать численные критерии значимости риска при оценке эффективности СЗИ в СпецИС с учетом целевой функции деятельности организации и результатов процесса, представляющего действительную ценность.
Для достижения поставленной цели в работе сформулированы и решены следующие задачи:
Исследованы аспекты практического применения формальных моделей безопасности вычислительной сети СпецИС при создании СЗИ.
Проведен анализ и сравнение распространенных формальных моделей безопасности и стандартов информационной безопасности, выявлены ограничения в их применении.
Формализованы правила построения политик безопасности при создании систем информационной защиты. Определена новая форма организации знаний о предметной области возникновения преднамеренных угроз адекватная методам их прогнозирования и устанавливающая взаимнооднозначное определение механизмов их нейтрализации.
Исследованы способы формирования оценок эффективности информационных систем и найдены методы определения оптимальных показателей затрат, необходимых для нейтрализации риска возникновения угроз адекватно степени их актуальности.
Разработаны методы анализа моделей безопасности в СпецИС и установлены критерии, позволяющие получать численные оценки защищенности.
Разработан метод оценки эффективности СЗИ, позволяющий на базе определения достаточного уровня информационной безопасности формировать ра-
циональный комплекс средств защиты, используя декомпозицию применяемых механизмов защиты, информационных технологий и ресурсов СпецИС. Методы исследований
Для решения поставленных задач использовались: методы теории информации, теории вероятностей и случайных процессов, методы дискретной математики, формальной логики, математическое моделирование, методы теории принятия решений, методы многокритериальной оптимизации, технологии и стандарты вычислительных сетей.
Для оценки уровня безопасности, реализуемой механизмами защиты, применялись формальные и неформальные экспертные оценки. Основные положения, выносимые на защиту:
Обзор моделей безопасности и их классификация. Влияние показателей эффективности СЗИ на адекватное распределение функций защиты между различными уровнями сетевого взаимодействия.
Метод построения модели угроз, адаптированной к оценке ущерба от деструктивного действия и риска, создаваемого потенциалом предполагаемого нарушителя.
Метод формирования рационального комплекса средств защиты, основанный на достижении достаточного уровня эффективности, определяемого критериями предельных издержек и риска функционирования СпецИС.
Математическая модель оценки уровня эффективности СЗИ, основанная на численных методах прогнозирования событий и анализа инцидентов.
Научная новизна результатов диссертации определяется следующими результатами:
сформулированы новые базовые положения, описывающие оценку эффективности выполнения политик безопасности в зависимости от возникающих инцидентов;
предложен метод расчета количественной оценки уровня защищенности СпецИС, отличающийся от существующих моделей;
разработан метод создания системы защиты информации на основе формализации задачи оптимизации состава комплексов средств защиты при различной глубине декомпозиции системы защиты;
Основным научным результатом проведенных исследований является комплексный подход к решению проблемы создания методов построения систем защиты для распределенных вычислительных сетей, основанных на показателях
эффективности.
Достоверность и обоснованность результатов диссертации обусловлены использованием результатов анализа современных СЗИ и методов оценки их эффективности, корректностью формальных выводов при построении моделей, соответствием полученных общих результатов с частными случаями, приведенными другими авторами, а также подтверждаются данными о практическом применении результатов при создании и анализе СЗИ для конкретных СпецИС.
Практическая значимость результатов диссертации заключается в том, что разработанные математические модели и метод оптимального проектирования защищенных сетей может применяться для эффективного построения СЗИ с минимизацией затрат на проектирование и реализацию. Использование предложенных методов позволяет проводить исследования и получать количественные оценки эффективности СЗИ. Методы могут применяться для технико-экономического обоснования при создании и развитии СЗИ в СпецИС.
Реализация результатов исследований Основные результаты реализованы в Военно-Морском Флоте, в Государственном научно-исследовательском навигационно-гидрографическом институте (ГНИНГИ), а также использованы в ОАО «Информационные технологии и компьютерные системы» («ИнфоТеКС») при проектировании подсистем зашиты персональных данных в Государственной информационной системе обязательного медицинского страхования (ТИС ОМС) территориальных Фондов обязательного медицинского страхования (ТФОМС).
Апробация работы. Результаты, полученные в результате диссертационных исследований:
докладывались на ежегодной Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ (2009 г.), на X Всероссийской научно-практической конференции Российской академии ракетных и артиллерийских наук «Актуальные проблемы защиты и безопасности» (секция «Военно-Морской Флот»), г. Санкт-Петербург (2007 г.)
использовались в НИР «Разработка программы первоочередных действий по навигационно-гидрографическому обеспечению морской деятельности России на период до 2020 года. Разработка Плана первоочередных действий по навигационно-гидрографическому обеспечению морской деятельности России на период 2009 - 2010 г.г.»; в НИР «Разработка типовых требований по комплексной безопасности информации систем, создаваемых при строительстве
подводных лодок» (2008 г.). Публикации. По теме диссертации опубликовано 8 печатных работ, из них 2 в изданиях, рекомендованных ВАК.
Структура и объем диссертации. Диссертация состоит из четырех глав, введения, заключения, списка литературы и приложений.
Изучение и документирование технологического процесса автоматизированной обработки и хранения информагщи
В особенности это сало чувствительным для КВИС (или, как их еще называют - ключевые системы информационной инфраструктуры, далее - КСИИ [98]), от безопасного функционирования которых зависит не только благополучие, но и жизни людей.
Согласно ГОСТ Р 51583-2000 [71] к таким системам отнесены не только системы, содержащие гостайну, но и системы, используемые в управлении экологически опасными объектами.
При этом, исходя из определения понятий ценной информации и критически важных объектов, указанных в РД по Разработке СЗИ [88] и Требованиях по ОБИ КСИИ [98], критически важными также можно называть и другие информационные системы управляющие объектами, нарушение функционирования которых может привести к чрезвычайной ситуации или значительным негативным последствиям, а также системы обрабатывающие информацию, ущерб от нарушения защиты которой (связанный, например, с утечкой промышленных и коммерческих секретов) может превысить 1 млн. рублей.
Примером таких систем могут быть АС управления атомными и гидроэлектростанциями, станциями муниципального электро и водоснабжения, навигацией и безопасностью дорожного, морского и железнодорожного движения, ИС финансово-кредитной и банковской деятельностью, предупреждения о радиационном заражении и т.п.
Кроме того, необходимо учесть, что это распределенные комплексы средств автоматизации, объединенные единой сетью имеющей удаленный доступ к её ресурсам и использующие общедоступные каналы связи. При этом использование общедоступных каналов связи для управления данными системами постоянно растет. Например, в США для АС управления войсками уже используется до 95% гражданских линий связи, включая использование глобальной сети Интернет и спутников связи Интелсат. Известны случаи, когда корректировка огня артиллерийских батарей, велась, используя электронные карты, за тысячи миль от своих боевых позиций. Большинство пилотов военной авиации после вылета на задание перенацеливается уже в ходе полета, поражая цели с ходу, что значительно снижает боевые потери.
Также отмечается и то, что с повышением оперативности выполнения задач, решаемых при помощи КВИС, существенно снизились требования к конфиденциальности обрабатываемой информации, так как время её актуальности стало несопоставимо со временем возможной реакции и ответных действий.
Более существенное значение приобрели понятия целостности, доступности, оперативности и непрерывности технологических процессов, командной и управляющей информацией, которые не относятся к информации ограниченного доступа. Таким образом, на первое место встала эффективность функционирования АСУ, как главного системообразующего и управляющего компонента систем и комплексов, который определяет устойчивость их функционирования при сборе, обработке и передаче данных.
КВИС, а также другие системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности информации, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий), получили названия — специальные информационные системы (СпецИС).
К СпецИС, также отнесены информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья граждан, а также, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия или иным образом затрагивающих права и законные интересы граждан2.
При этом одним из наиболее важных критериев отнесения ИС к СпецИС является, то, что построение их СЗИ базируется не на типовых требованиях, установленных в зависимости от класса защищенности (безопасности) АС (ИС), а в зависимости от угроз, которые могут быть реализованы в результате нарушения характеристик безопасности информации. Это также исходит из того, что одной из особенностей эксплуатации Спе-цИС является создаваемая ими высокая опасность для общества в целом в связи с активной разработкой развитыми государствами «информационного оружия», которое как раз и ориентировано на то, что при относительно низком уровне затрат на его создание имеет высокий уровень эффективности применения [2].
Считается, что в обозримом будущем достижение конечных целей в конфликтных ситуациях будет осуществляться не столько ведением боевых действий, сколько подавлением систем государственного и военного управления, навигации и связи, а также воздействием на другие КВИС, от которых зависит устойчивость управления экономикой и вооруженными силами государства.
Обладая ударной силой для уничтожения соперника, информационное оружие не требует создания специализированных производств и сложной инфраструктуры по его эксплуатации. Разработка и реализация деструктивных воздействий по силам небольшой группе или даже одному специалисту, при этом нет необходимости физически пересекать границы и подвергать риску жизнь личного состава. Его уникальность заключается в том, что чем более развита информационная инфраструктура, тем шире набор целей.
Чтобы понять масштабы угрозы, достаточно представить, что будет, если в результате воздействия произойдет вброс в систему водоснабжения неочищенной (или наоборот пресыщенной хлористыми соединениями) воды, заведомо ложное информирование больших групп населения о высокой степени радиационного заражения или будут изменены итоги голосования в государственной автоматизированной системе «Выборы».
При этом общество уже сталкивается с одной из форм использования информационного оружия путем хищений и мошенничества, совершенных с помощью компьютерных преступлений, ежегодные потери от которых только через сеть Интернет, достигают более 5 млрд. дол.
Инструментально-моделируїощие методы оценки эффективности
Кроме того, ряд методов защиты информации сам по себе содержит определенные коллизии. Так, например, поведение применяемых систем обнаружения компьютерных атак (СОКА) в критических ситуациях проявляет признаки раздражающего действия, что отнесено к приемам специального программного воздействия (СПВ), т.к. нарушает нормальное функционирование АС. В результате повышение оперативности и устойчивости управления ИС ведет к ухудшению этих процессов в ходе противодействия компьютерным атакам на СпецИС.
При этом, анализ существующих программно-технических комплексов защиты информации показывает, что поставляемый в их составе аппарат анализа и выявления недекларируемых возможностей и признаков раздражающего действия функционально сведен только к обнаружению, так называемых «программ шуток», «рекламы», «спама» и не учитывает новых способов воздействия на ИС в целом, например таких, как: - наличие в поставляемой программной среде средств функционального анализа психофизического состояния, интеллектуальных и профессиональных особенностей операторов ИС, что без соответствующих мер противодействия позволяет организовать легальный сбор первичной информации о лицах, посредством которых можно осуществлять целенаправленные компьютерные атаки на защищенные изолированные ИС. - изменения эргономических характеристик информации и ее потоков не адекватно перцептивным параметрам органов чувств, свойствам внимания, памяти, мышления, наличие или отсутствие дефицита времени и перегрузки оперативной памяти человека, организация информационных потоков в соответствии с алгоритмами деятельности и т.д.; - наличие в информационных потоках специфических элементов, целенаправленно изменяющих психофизиологическое состояние больших масс людей или лиц, принимающих важные для социума решения (слова, образы, сообщения, воздействующие на подсознательном уровне, интонационные составляющие речи и др.). В качестве примера здесь можно привести эффект парализованного общества, получившего распространенный во время Югославского конфликта видеоролик с фальсифицированным изображением ядерного взрыва; - наличие в информационном воздействии (или в "примешивании" к информационным потокам) модифицированных компонентов, воздействующих непосредственно на физиологические системы (особые световые и звуковые воздействия, специальные воздействия электромагнитных и звуковых колебаний, в том числе в частотно-амплитудных диапазонах, не воспринимаемых человеком осознанно). Например, изменения в мерцаний монитора, приводящее к быстрой утомляемости. С заменой устаревших вычислительных средств и систем связи в АСУ появилась принципиальная возможность осуществления компьютерных атак через уязвимые места в цифровом коммуникационном оборудовании и программном обеспечении в режиме удаленного доступа через «прозрачные» сети на базе типовых протоколов передачи данных.
Рассматривая вычислительные процессы и информационное взаимодействие с использованием глобальных вычислительных сетей, прежде всего, мы сталкиваемся с технологией распределенных вычислений использующих данные, разнесенные по различным ресурсам ВС в соответствии с ее архитектурой. В связи с чем при их обработке, на различных компьютерах, необходимо решать проблему как безопасного обмена ими, так и безопасного функционирования вычислительных ресурсов.
Данные между составными частями распределенной вычислительной системы передаются по каналам, которые более уязвимы к их перехвату и несанкционированному подключению, чем каналы связи локальных ВС (ЛВС).
Увеличение избыточных функций и параметров информационно-вычислительных процессов в распределенной ИС значительно усложняет процесс контроля и обнаружения атак и увеличивает количество факторов уязви-мостей, требующих устранения. При этом, как правило, все издаваемые программные продукты, используемые для создания методов СПВ, доступны злоумышленникам и не создают особую уникальность среды функционирования (СФ), в которой СПВ было бы не способно к проявлению. Для создания системы защиты информации или автоматизированной системы в защищенном исполнении (АСЗИ) недостаточно просто использовать определенные средства защиты информации (СрЗИ). Процесс создания АСЗИ заключается в выполнении совокупности мероприятий, направленных на разработку и практическое применение информационной технологии, реализующей функции ЗИ, установленные в соответствии с требованиями стандартов и нормативных документов [71].
В связи с чем, к вычислительной сети, процессам обработки данных и информации, циркулирующей в ВС, предъявляется ряд требований, часть которых задается априорно при разработке системы, а другая часть предназначена для обязательного соблюдения в процессе эксплуатации системы. С условной схемой создания АСЗИ можно ознакомиться в приложении 7. Более всего специфика создания защищенной ИС проявляется в требованиях к составу реализуемых стадий, этапов и содержания работ по созданию АСЗИ, которые помимо ГОСТ 34.601, также регламентируется ГОСТ Р 51583, 51624, СТР-К и РД по Разработке СЗИ [71], [72], [86], [88]. Объединенная таблица оценки соответствия требований по созданию АСЗИ между данными документами приведена в приложении 10.
Среди основных свойств СпецИС необходимо выделить ее безопасное состояние (или безопасное функционирование). Поэтому состав реализуемых стадий, этапов и содержания работ по защите обрабатываемой информации выбирается по результатам анализа общей проблемы безопасности информации для каждой конкретной АСЗИ, где выделяются те направления, в которых преднамеренная или непреднамеренная деятельность человека, а также неисправности технических средств, ошибки программного обеспечения или стихийные бедствия могут привести к утечке, модификации или уничтожению информации [91]. Данный анализ осуществляется путем обследования объекта информатизации, его классификации и составления Модели угроз.
Контрольно-испытательные методы оценки эффективности
Изучение указанной методологии показывает, что при оценке защищенности АС нельзя ограничиваться только критериями степени секретности защищаемой информации. С использованием вышеперечисленных методов доказано, что для отдельных систем критический уровень опасности наступает вовсе не при НСД к информации, а при несанкционированных действиях (блокировка, отказ, сбой) в ИС. Точно также, как и ущерб от модификации несекретной информации может быть гораздо большим чем от модификации засекреченной информации.
Однако, существующая классификация защищенности АС строится исходя из уровня конфиденциальности обрабатываемых в них сведений, что противоречит целевой функции создания АС. Следовательно, данная классификация должна быть пересмотрена исходя из приоритетов защиты информации. Т.е. не только по уровню конфиденциальности, но и целостности (т.е. точности, достоверности, полноты), и доступности (оперативность, непрерывность и т.п.).
При этом в РД [89], установлена третья группа АС с классами защищенности ЗА, ЗБ для АС с одним пользователем. При этом исходя из определений, что под пользователем (ГОСТ Р 50922-96 [69]) понимается любое лицо, имеющее доступ к системе, посредством которой оно может ознакомиться с содержащейся в ИС информацией, полученной в соответствии с установленными правами и правилами доступа, либо с их нарушением, а под АС (ГОСТ Р 51624-2000 [72]) - система, состоящая из персонала и комплекса средств автоматизации, его деятельности, реализующая информационную технологию выполнения установленных функций, следует, что таких АС в принципе не бывает. Т.к. трудно себе представить ситуацию, в которой из бесчисленного множества таких лиц, как администраторы, разработчики, поставщики, наладчики, программисты, технический персонал, обслуживающий персонал, надзорные органы, руководители и т.п. не найдется еще одного лица, кроме владельца АС, который бы не мог получить доступа к системе. Либо данная ситуация относится к тем случаям, которые нуждаются в регулировании механизмов защищенности без использования средств автоматизации.
Кроме того, существующая методология не дает понимания о взаимнооднозначном соответствии и закономерностях при сопоставлении выявленных угроз требованиям нормативных документов, определяющим спецификацию функций для базовой СЗИ по результатам классификации защищенности АС, СВТ и т.д. от НСД. При этом, согласно ГОСТ 13335-3 (п. 9.2. [57]) если устанавливается базовый уровень безопасности, то в проведении детальной оценки угроз, рисков и уязвимости систем нет необходимости. Применяя базовый подход к обеспечению безопасности, соответствующие защитные меры безопасности выбираются из справочных материалов (каталогов). Однако установленная методология этого не предполагает, в связи с чем возникает коллизия между установленными экспертным путем уязвимостями (субъективный фактор) и отсутствием соответствующих требований в руководящих документах (например, требования о применении криптографической подсистемы устанавливаются только начиная с уровней защищенности АС по классам 2А, 1Б и выше. Т.о., если для АС в соответствии с предъявляемыми требованиям установлен меньший уровень защищенности, а согласно Модели имеется актуальная угроза несанкционированного получения информации в результате совместного доступа к носителю, то почему-то в соответствии с РД [89] определяются требования по обязательной установке подсистемы управления доступом, а не подсистемы криптографической защиты).
Методология не позволяет оценить ситуацию, в которой существующие защитные меры превышают текущие потребности организации, если необходимо рассмотреть вопрос об исключении избыточных защитных мер. При этом отсутствуют факторы экономической целесообразности применения защитных мер, которые бы могли определить, как защитные меры влияют друг на друга, не повлияет ли исключение избыточных защитных мер на снижение совокупного уровня безопасности, что дешевле - сохранить избыточные защитные меры, или их ликвидировать.
Предложенный метод оценки исходной защищенности и определения актуальности угроз (см. п. 1.1.3.1, 1.2.4) содержит опасное состояние, которое, например, при определении высокого уровня исходной защищенности ИС (U1=0), средней вероятности такой угрозы, как вскрытие пароля (U =5) — Uv=0 и средней опасности данной угрозы (Uon=2), в соответствии с таблицей 1.17, определяет эту угрозу, как неактуальную. Т.е. получается, что в этом случае устанавливать какие-либо дополнительные средства защиты нет необходимости. Однако это не увязывается с тем, что данная угроза была определена, как достаточно вероятная, а значит, имеется и нарушитель, обладающий возможностью её реализации, и уязвимость, доступная для нарушителя.
Данная методология устанавливает экспертный порядок определения вероятности угрозы, критерием которого является неустановленная величина «объективных предпосылок» для реализации угрозы «в складывающихся условиях обстановки». При этом, из понятия угрозы и методики идентификации угроз для конкретной ИС, рассматриваемая методология предусматривает перечисление способов их реализации, а также предположения об имеющейся информации об ИС и наличии соответствующих средств атаки, но не определяют оценки этих способов.
Данная методология построена на различных комбинациях субъективных и эмпирических мер с использованием оценочных таблиц-матриц с заранее определенными значениями в расчете только на некоторые типовые ИС, которые не дают общего представления об адекватности таких оценок конкретной ИС. При этом, как уже упоминалось выше, для типовых ИС устанавливается базовый уровень защищенности, а, следовательно, в проведении данных оценок нет необходимости. Методология строится на разных моделях, установленных нормативными документами различных ведомств, в которых нет взаимно-однозначного соответствия в построении, как модели нарушителя, определения их типов и кто к ним относится, возможностей, способов доступа, так и модели угроз, определения уязвимостей и вероятности их реализации. Методология специфицирует мотивы нарушителя, однако не устанавливает, как это влияет на реализацию угрозы. То же самое относится к установленной категории сговора между различными типами нарушителей. Методология определяет необходимость выделения привилегированных и доверенных лиц, что создает весьма субъективный метод построения СЗИ, что не предусматривает создание соответствующих функций СЗИ, направленных на противодействие деструктивным действиям со стороны этих лиц (администраторы сети, администраторы безопасности). Ни предлагаемые методы составления ПРД, ни методы определения угроз и уязвимостей, ни возможности нарушителей, ни способы нарушения безопасности не выделяют проблемы критического накопления данных с превышением необходимого пользователю объема информации.
Основной коэффициент эффективности
Устранение доступности - заключается в том, чтобы возможный нарушитель соответствующего типа не мог иметь доступа к местам, где бы он смог реализовать угрозу. При этом если реализация одних угроз требует продолжительного доступа, то для реализации других - лишь кратковременного. Так, если терминал пользователя оставлен без надзора, то он становится уязвим. В связи с чем, функциями СрЗИ должно быть предусмотрено его отключение (блокирование) или завершению сеанса после установленного времени бездеятельности, а функциями СЗИ — требования к пользователю по отключению (блокированию) терминала. Также, в определенных ситуациях достаточно разместить соответствующим образом монитор, что сделает невозможным применение средств визуально-оптической разведки (ВОР).
Создать сложность - т.е. затруднить применимость способа реализации угрозы или создать условия для невозможности или неэффективности их воздействия. Например, применение СКЗИ создаст сложность вскрытия текста, доступного при передаче по открытым каналам связи. Установка специализированной операционной системы или виртуальной среды может предопределить невозможность использования целого класса вредоносных программ. А установка систем пространственного электромагнитного зашумления создаст сложность выделения полезного сигнала из ПЭМИН, излучаемых АС.
Устранение уязвимостей заключается в том, что по возможности они должны быть: удалены — или нейтрализованы. Это относится, в том числе и к функциональным уязвимостям, которые появляются вследствие неправильной настройки или эксплуатации СрЗИ; минимизированы — т.е. уменьшения до допустимого остаточного уровня возможного ущерба от любого проявления уязвимостей; отслежены — т.е. любая попытка использовать оставшиеся уязвимости должна быть обнаружена с тем, чтобы ограничить ущерб. Снижение (минимизация) ущерба связана с мероприятиями по уменьшению риска обработки информационных активов в АС. И в зависимости от категорий безопасности, к которым эти информационные активы относятся, можно предусматривать соответствующие мероприятия. Так, например, в распределенной ИС, построенной на основе многоканальной связи с резервированием каналов связи, нарушение нескольких каналов передачи данных может снизить скорость их доставки до 2-3 сек., что даже в АСУ войсками не является существенным. Вместе с тем, при выводе из строя узловых шлюзов с центральной архитектурой построения дезорганизация управления может составить до 60%, что говорит о недостаточности только лишь одних мероприятий по минимизации ущерба, т.к. нужно предусмотреть и другие возможности ассиметричных действий. Такое представление замысла мероприятий по защите информации, содержащего основную идею применяемых методов, необходимых для определения механизмов защиты, позволяет перейти от моделирования угроз к разработке оптимального варианта построения системы защиты информации в СпецИС. Тем самым можно представить реализуемую политику безопасности конкретной СпецИС формальным образом с применением моделей безопасности без рассмотрения конкретных деталей их реализации. Т.о. по сравнению с неформальным представлением политики безопасности не требуется оперирования большим количеством объектов, перечислимым множеством которых будет трудно воспользоваться. Вместе с тем, данные условия также обладают неопределенностью окончательного выбора, а значит элемент субъективизма неизбежен. В связи с чем, для выявления рациональных вариантов и выбора наиболее оптимального из них в дальнейшем предлагается провести анализ и выработку характерных критериев, необходимых для выработки решения. Как следует из ранее рассмотренных критериев оценки состояния защищенности, в качестве основного из них рассматривают сложность преодоления рубежей защиты. При этом в имеющихся методиках оценка способов преодоления преград осуществляется по расчетам временной или вычислительной сложности преодоления рубежей защиты, которые, в итоге, могут быть представлены в вероятностной форме. Однако, это противоречит рассмотренным в первой главе принципам построения ИБ, основанным на комплексных показателях защищенности, утверждающих, что нарушение заданных характеристик безопасности является следствием предпосылок, связанных между собой цепью событий в виде осведомленности (информированности) нарушителя и привлекательности результата атаки, наличия средств реализации угрозы и возможности их создания и применения (характеризующие потенциал нарушителя, а следовательно вероятность возникновения угрозы), наличия пригодной уязвимости, её доступности и способа использования (характеризующие защищенность ИС, а следовательно вероятность реализации угрозы), а также наличия благоприятных условий для реализации. Таким образом, недостатком большинства моделей является отсутствие численных методов определения величины итоговой защищенности, вероятности и, соответственно, риска возникновения негативного события, оценка которых делается экспертным путем. При этом считается, что риском события с вероятностью меньше определенного порогового значения можно пренебречь, несмотря на то, что потенциальный ущерб от них может быть велик. Это противоречит традиционной практике, когда руководители склонны уделять чрезмерное внимание рискам с большим ущербом и малой вероятностью, в то время, как в управлении рисками в первую очередь учитывают риски с умеренным ущербом, но высокой вероятностью (например, атаки вредоносного программного обеспечения), многократно реализующиеся в течение рассматриваемого периода. Т.о. одним из критериев оценки безопасности является уровень опасности, характеризуемый ущербом, который может быть вызван в результате деструктивного действия от реализованной угрозы.
