К ВОПРОСУ ОБ ОЦЕНКЕ ЭФФЕКТИВНОСТИ ВЫБОРОЧНОГО КОНТРОЛЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
Язов Юрий Константинович, доктор технических наук, профессор, г. Воронеж Машин Олег Анатольевич, г. Воронеж Платонов Борис Федорович, г. Ростов-на-Дону
Отмечается выборочный характер контроля защищенности информации в компьютерных системах в условиях ограниченного ресурса сил и времени проведения контрольных мероприятий уполномоченными органами исполнительной власти. Показывается, что существующие методы выборочного контроля, применяемые при оценке качества продукции по числу дефектных изделий, не могут быть применены при оценке эффективности выборочного контроля защищенности информации в информационных системах. В статье рассматривается метод выборочного контроля с однократной выборкой, обосновываются показатели оценки эффективности контроля и приводятся аналитические соотношения для их расчета.
Ключевые слова: защита информации, компьютерная система, контроль защищенности информации, выборка
TO THE QUESTION OF ASSESSING THE EFFECTIVENESS I OF THE SAMPLING DATA PROTECTION IN INFORMATION I
SYSTEMS FROM UNAUTHORIZED ACCESS
Yury Yazov, Doctor of Science (Tech),
Professor, Voronezh Oleg Mashin, Voronezh Boris Platonov, Rostov-na-Donu
Marked selective control of information security in computer systems in resource-limited time and effort implementing control measures by the authorized bodies of executive power. It is shown that the existing methods of sampling control used in the evaluation of the quality of products according to the number of defective products cannot be applied when assessing the effectiveness of the sampling control data protection in information systems. In the article is shown the method of sampling control from a single sample, justified indicators for assessing the effectiveness of controls and gives analytical expressions for their calculation.
Keywords: information security, computer system, control of data protection, sampling
Сегодня накопился уже определенный практический опыт организации и ведения контроля уполномоченными федеральными органами исполнительной власти. В ходе проведения плановых контрольных мероприятий проверяется соответствие уровня защиты обрабатываемой в информационных системах (ИС) информации, состава, содержания и эффективности предпринимаемых мер такой защиты требованиям нормативных
документов. Отсутствие соответствия требованиям документов рассматривается как нарушение безопасности информации в ИС. Вместе с тем, как правило, контроль проводится в директивные, крайне ограниченные сроки. В этих условиях невозможно охватить контролем все элементы ИС и приходится осуществлять выборочный контроль, то есть оценивать защищенность информации в ИС, прежде всего, от угроз несанкционированно-
го доступа по выборочным данным. При планировании выборочного контроля приходится выбирать первоочередные подлежащие контролю объекты в составе ИС. Как правило, сегодня это осуществляется экспертным путем на основе опыта контролеров, что объясняется отсутствием соответствующего методического обеспечения, позволяющего на количественной основе оценивать эффективность выборочного контроля. Кроме того, важным аспектом организации выборочного контроля является оценка эффективности выборочного контроля по результатам его проведения.
Известные методы выборочного контроля (метод однократной выборки, метод последовательного анализа и др.), используемые при оценке качества продукции по числу дефектных изделий в выбранной для проверки партии таких изделий, не могут быть применимы непосредственно к контролю защищенности информации в ИС, поскольку они не учитывают:
распределение требований и нарушений их выполнения по объектам контроля;
уровень опасности выявляемых нарушений и, следовательно, категории нарушений;
распределения вероятностей возникновения различных нарушений на объектах контроля в составе ИС.
Впервые вопросы выборочного контроля защищенности информации в ИС были подняты в [1], однако там не затрагивались вопросы оценки эффективности выборочного контроля. При этом под эффективностью выборочного контроля понимается по аналогии с [2] степень соответствия результатов контроля поставленной цели, то есть мера достижения поставленной цели контроля.
В данной статье рассматривается подход к оценке эффективности выборочного контроля в случае применения методов однократной выборки с учетом категории возможных нарушений требований безопасности информации, а также распределения нарушений по объектам контроля в составе ИС и вероятностного характера их возникновения.
Как правило, на практике целями контроля являются:
выявление всех возможных нарушений требований нормативных документов, которые имеют место в ИС на момент проведения контрольных мероприятий. В этом случае эффективность контроля характеризует степень выявления нарушений, которые имеют место в ИС;
охват всех объектов в составе ИС, на которых обрабатывается защищаемая информация, на
предмет выявления нарушений требований по защите информации. В этом случае эффективность контроля характеризует степень охвата контролем объектов, на которых могут быть нарушения безопасности.
Наличие нескольких целей контроля обусловливает возможность применения разных показателей его эффективности. Важным при выборе таких показателей является определение состава элементов ИС, которыми могут быть:
- разработанные документы по защите информации (ЗИ) в ИС на предприятии (в организации), касающиеся классификации ИС по классам защищенности, частной модели угроз безопасности информации, требований по ЗИ для данной ИС, сертификаты применяемых средств защиты, планирующие и отчетные документы, документы по видам обеспечения (финансовому, кадровому, материальному и т.д.) работ по ЗИ в ИС и др.;
- ИС в целом, если требования по защите информации предъявляются к ИС в целом (например, по организации такой защиты);
- программные и программно-аппаратные средства в составе ИС, такие как серверы, рабочие станции, промышленные контроллеры, межсетевые экраны, шлюзы, ргоху-серверы, коммутаторы и другие элементы, предназначенные для сбора, обработки, передачи, хранения и распределения защищаемой информации.
При выборе показателей необходимо учитывать следующее:
1. Эффективность функционирования той или иной системы или проведения мероприятий можно оценивать как по «внутренним» (внутрисистемным), так и по «внешним» (внешнесистемным) показателям. При этом внутрисистемными показателями оценивается, как правило, качество выполнения системой своих функций или выполнения намеченной совокупности мероприятий, а внеш-несистемными - влияние функционирования системы (проведения мероприятий) на функционирование «надсистемы». В частности, внутренними показателями контроля могли бы быть показатели, оценивающие степень охвата контролем объектов в составе ИС, относительное количество выявляемых нарушений, и т.п., а внешнесистем-ными - повышение показателя защищенности ИС от угроз безопасности информации в результате проведения контроля. В данной работе рассматриваются только внутрисистемные показатели.
2. Для оценки эффективности выборочного контроля целесообразно применять систему взаимосвязанных показателей, имеющую иерархи-
ческую структуру. При этом на нижних уровнях должны находиться частные показатели, с помощью которых оцениваются отдельные аспекты контроля или отдельные мероприятия по контролю, а также аспекты функционирования элементов ИС, существенные для оценки эффективности выборочного контроля, например, возможность возникновения нарушений на объектах контроля и возможность выявления нарушений в ходе проведения контрольных мероприятий, временные (вероятностно-временные) характеристики проведения контрольных мероприятий на каждом объекте контроля и др.
3. Выборочный контроль по своей природе является случайной процедурой, поскольку не только выбор объектов контроля зачастую является случайным, но и возникновение и выявление нарушений также происходят с некоторой вероятностью. В связи с этим в качестве частных показателей при оценке эффективности выборочного контроля целесообразно использовать вероят-
ностные показатели.
С учетом изложенного для оценки эффективности выборочного контроля могут быть применены показатели, приведенные на рис.1.
Рассмотрим соотношения для расчета показателей для случая, когда эффективность выборочного контроля оценивается по результатам проведения контрольных мероприятий.
Пусть в соответствии с нормативными документами нарушения требований по ЗИ категори-рованы и в ИС выявлено т£ нарушений £ -ой категории.
Показатель эффективности выборочного контроля «степень выявления нарушений определенной категории» - это отношение количества выявленных в ИС нарушений т£ к количеству (Мв ) имеющихся в ней нарушений £ -ой категории по определению рассчитывается по формуле:
т„
М„
(1)
Показатели эффективности выборочного контроля
I
Относительное количество выявленных нарушений требований по ЗИ заданной совокупности категорий в ИС по отношению к количеству прогнозируемых нарушений
Интегюалъные (общие) показать
Относительное количество объектов в составе ИС, на которых выявлены нарушения требований по ЗИ по отношению к количеству проконтролированных объектов
Относительное количество объектов в составе ИС, охваченных контролем, на которых выявлены нарушения требований по ЗИ, по отношению к общему количеству объектов
Частные показатели среднего уровня
1. Вероятность того, 2. Вероятность того, что 3. Вероятность того, 4. Вероятность
что количество количество объектов, на что нарушения выявления не менее
объектов, на каждом каждом из которых требований по ЗИ с заданного
из которых имеется имеется не менее любой категорией, количества
заданное количество заданного количества не выше заданной, нарушений заданной
нарушений нарушений определенной будут выявлены на совокупности
определенной категории, составит заданном категорий на
категории составит величину, не менее количестве объектов объекте контроля в
заданную величину заданной в составе ИС составе ИС
Частные показатели нижнего уровня
Вероятность возникновения нарушения заданной категории на объекте контроля в составе ИС
Вероятность выявления нарушения на объекте контроля
Рис.1. Показатели эффективности выборочного контроля защищенности информации в информационных системах
Если на к -м объекте имеются нарушения разных категорий и необходимо оценить эффективность выборочного контроля применительно ко всем категориям, то используется показатель «степень выявления нарушений безопасности информации», который рассчитывается следующим образом:
Лае' (к) =
I т (к)
м, (к)
(2)
'=1
Лае:
п 'шах
II т, (к)
к=1 л=1_
п 'шах
_шах
I т (к)
_шах
I С (к, ') > О- , (4)
I Р8еп (к,') • Ы:, (к)
'=1
а для ИС в целом:
II т (к)
Лае' ="
ЦРееп (к,') • М' (к) к=1 '=1
к=1 '=1
предъявляемых к данному объекту в составе ИС в соответствии с действующими нормативными документами, невыполнение которых приводит к нарушениям ' -й категории, и может быть определено на основе анализа этих документов.
Если не учитывать категории нарушений, то соотношения (4) и (5) преобразуются к виду:
Ла'(к) =„ , Рёеп(к) > 0 , (6)
Реп (к) • М(к)
где - максимальный номер категории нарушений, имеющих место в ИС;
тх(к), (к) - выявленное и максимально возможное количество нарушений ' -й категории на к -м объекте в составе ИС соответственно.
Применительно ко всем объектам в составе ИС, вошедшим в выборку, формула 2 имеет вид:
Л ае'
к =1
т(к)
I Р^ (к) • М (к) к=1
к 1
Р (к )>0
яеп \ /
(7)
(3)
ЦМ. (к)
к=1 я=1
Важная особенность расчета этого показателя по приведенным соотношениям состоит в том, что необходимо знать имеющееся количество нарушений на объектах в ИС. Однако на практике, как правило, это неизвестно. Вместе с тем в этом случае может быть использовано прогнозное значение количества нарушений на основе статистических данных по результатам предыдущих контрольных мероприятий. По таким данным может быть оценена вероятность возникновения нарушения заданной категории ' на каждом к -м объекте в составе ИС Р§еп (к,') . Тогда формула (2) преобразуется к виду:
Наконец, важными для оценки эффективности выборочного контроля являются показатели, характеризующие охват контролем объектов в составе ИС. К ним относятся два показателя. Первый показатель - это «степень выявления объектов с нарушениями требований по ЗИ информации» определяется как относительное количество объектов (Пйе) в составе ИС, на которых выявлены нарушения требований по ЗИ, по отношению к количеству проконтролированных объектов П , который рассчитывается при отсутствии катего-рирования нарушений по определению следующим образом:
ЛоЬ]=— . (8)
п
Если категорирование нарушений проводится, то данный показатель может рассчитываться применительно к нарушениям определенной ' -й категории:
п(
(9)
ЛсЪ]
п(')
п
или для случая, когда рассматриваются нарушения только с категорией, не менее заданной:
Лъ
(й'о) _ пйе1
(й'о)
п
(10)
Затем данный показатель усредняется с учетом веса каждой категории нарушений:
1 'ш
(11)
ЛоЬ] (к) = I *-лЛЪ)(к),
'=1
II Р№п (к,') > 0. (5)
где I * = 1 - для нарушений всех категорий;
'=1
1
ЛЛ] (к) = ■
■I*.'лЛъ} (к) ,
(12)
Как правило, максимально возможное количество нарушений категории ' на каждом п -м объекте соответствует количеству требований по ЗИ,
где I* =1 - для нарушений с категорией,
'=1
не менее '0.
'=1
Второй - показатель эффективности выборочного контроля «степень охвата контролем объектов с нарушениями» - относительное количество объектов (пйе4) в составе ИС, на которых выявлены нарушения требований по ЗИ, по отношению к общему количеству объектов (N) , рассчитывается по аналогичным формулам, только вместо П подставляется величина N.
Полученные соотношения впервые позволяют всесторонне оценить эффективность выборочного контроля безопасности информации в ИС по результатам проведения контрольных мероприятий.
Рассмотрим второй случай, когда оценивается предполагаемая эффективность выборочного контроля применительно к выбранному составу подлежащих контролю объектов без наличия каких-либо приоритетов у объектов контроля. При этом выборочный контроль может быть контролем с однократной выборкой, то есть в течение установленного директивного срока осуществляется одно контрольное мероприятие относительно ИС. Математическая модель оценки эффективности такого статистического выборочного контроля с однократной выборкой сводится к следующему.
Пусть в составе ИС имеется □ объектов, из которых для контроля выбрано п объектов. К ним относятся объекты, в которых циркулирует защищаемая информация, то есть должны выполняться требования по ЗИ, соответствующие определенному для данной ИС классу защищенности.
Обозначим через Ne, е = 1,Е, количество объектов в составе ИС, где предположительно имеется хотя бы одно нарушение категории е , через Пт - количество объектов, на которых имеется ровно те нарушений категории е, а через Ме - общее количество нарушений требований категории е , которые могут иметь место в ИС.
При выборочном контроле на некоторых контролируемых объектах П0 отсутствуют нарушения, а на остальных п — П0 объектах могут иметь место нарушения требований по ЗИ ( П < N ). Рассмотрим соотношения для расчета первого из частных показателей среднего уровня (см. рис.1) - вероятности РоЬ] (пт^, п , N) того, что количество объектов, на каждом из которых имеется заданное количество нарушений тЕ определенной категории (е), составит заданную величину п£ , если контролю подверглись П из N объектов в составе ИС.
Пусть обнаружение нарушений происходит с единичной вероятностью, а сами нарушения достоверно имеют место. Найдем закон распределения числа объектов, на которых имеет место нарушение, в предположении, что нарушения возникают независимо друг от друга и равновероятно на подлежащих контролю объектах, при этом все нарушения категории е могут иметь место на любом из объектов контроля. Этот случай соответствует «задаче о дробинках, бросаемых случайным образом в N ящиков».
Вероятность того, что количество объектов, на каждом из которых имеется ровно т£ нарушений (те = 0,М ), составит величину пт , распределена по гипергеометрическому закону:
П—Пт£
РоЬ1 (Пте, П N) =
_ ^■ Рт ]' ^■(! — Рт )]
где
П
, т = 0, М£, (13)
(
Р т
М^-Р
N
(е)
¡еп \т„
_ МеР™
N
(14)
[] - знак, определяющий целую часть числа;
—(е)
Р¡еп - средняя вероятность возникновения в ИС нарушения требований по ЗИ с категорией е,
1 N Ме
—(е) Р =
* ¡еп —
М ■ N
(к)
(15)
к=1 г=1
Ре (к) - вероятность возникновения / -го нарушения требований по ЗИ с категорией е на к -м объекте в составе ИС.
Среднее количество таких объектов определяется по формуле:
Пт
= [ПТт].
(16)
Если нарушения выявляются не с единичной вероятностью, то указанные выше формулы модифицируются следующим образом. С учетом того,
(е)
что количество объектов пАеХ , на которых обнаруживаются нарушения с вероятностью Р(££) , составляет величину
П
(е) =
с1ег
П
Р (е) 1 ае1
(17)
искомая вероятность находится из соотношения:
РоЬ, П ,пЛРр?) =
сп£
N ■ Рт
ГП~'Че1
N (1—рт)
- оЬ]
лл CN
(18)
при этом среднее количество объектов, на которых будут обнаруживаться нарушения с категорией е, определяется по формуле:
-(£) П ае1
= [ п ■ рт ■ ].
(19)
(е)
Р >т = Е
М^Р гвп N
м. (&еп)] ■ е
Ме-Р^п
N
]=те
]!
_ е
р>1=Е
—(е)
(Ме ■ Ре ]
N
п(е)
Ме ■ Р^еП
1 — е
]=1
]!
п I 1 = п 1 И Ц 1 =
N - п, N - 1
Чг Ъ 1 ^1- р 1)
(22)
При этом вместо формулы (13) можно использовать формулу:
Расчет второго из указанных показателей среднего уровня (см. рис.1) - вероятности Р0ь] (п>т , п, N) того, что количество объектов, на каждом из которых имеется не менее те нарушений категории е , составит величину п>т , используется та же модель, однако в формуле (13) вместо вероятности рт необходимо подставить вероятность р>т , рассчитываемую из соотношения:
РоЬ] (п>л , ^ N)
1
- (п>1е—пр>1) 2а„
(23)
>1е
(20)
Из формулы (20) следует, что для объектов, на которых имеется хотя бы одно нарушение, указанная вероятность рассчитывается по формуле:
На основе изложенной модели может быть рассчитан также и третий из указанных показателей среднего уровня (см. рис.1) - вероятность РоЬ] (п>е , п, Ю того, что нарушения с любой категорией, не ниже заданной е0, (е>е0), будут выявлены на п^ из п проконтролированных объектов в составе ИС. Суть расчета этого показателя сводится к тому, что вместо параметра пт используется п>^, а вместо величины Ме в формуле (20) - величина М>е .
С учетом приведенных соотношений может быть рассчитана вероятность того, что в ИС может быть выявлено не более пе объектов, на каждом из которых имеется хотя бы одно нарушение с категорией е:
. (21)
Р0Ь] (пЕ, п, N = Е
/"11 п—1
С■р-! ■с<1-р>1)]
I=1
С
(24)
N
График зависимости, полученной по формуле (13) для вероятности РоЬ] (пт, п, N) и некоторых значений параметро в N , Ме и п, приведен на рис.2, из которого видно, что огибающая дискретного распределения вероятности РоЬ] (п> , п, ^ может быть аппроксимировано непрерывным нормальным распределением с параметрами :
Пример графического представления зависимости (24) для некоторых значений параметров N , Ме и размеров выборки п приведен на рис.3.
Несколько сложнее рассчитывается четвертый показатель - вероятность того, что в ИС в ходе контрольных мероприятий будет выявлено не менее заданного количества нарушений заданной совокупности категорий.
п
Р] К , П, N ]
0.16
0.12
0.08
0.04
1
12
18
24
Рис.2. График зависимости вероятности того, что количество объектов, на каждом из которых выявляется хотя бы одно нару шение с заданной категорией от количества объектов с нарушениями
0 "
л = 20 М,=30 1 1 $ /
1
§ !
1 1 1 я = 30 М„ = 50
1
1 •
/ 1 ; !
1
* 1 ; /
1 1 1
/ « = 40
1 /
1 / 9 / МЛ =50
* /
Рис.3. Зависимость вероятности того, что в ИС может быть выявлено не более пе объектов, на каждом из которых имеется хотя бы одно нарушение с категорией е , от количества объектов
0
0
0
5
10
15
0
6
п
Такая вероятность может быть рассчитана при допущении о независимости и равновероятности возникающих нарушений требований по ЗИ с использованием модели «классической задачи о дробинках».
Пусть в составе ИС из N объектов контролируются только П < N объектов, где П - размер выборки (общее количество выбранных для контроля объектов), при этом в выборку попадают объекты с нарушениями любой категории (или с категорией, не ниже заданной е0).
Вероятность того, что в выборке П будут выявлены m>e нарушений, а оставшиеся M > — m ~ 0 нарушений будут иметь место на непроконтролированных N — n объектах, определяется из соотношения (3), [3]:
х -m>e Пт>е0 ■ (N — П)M>e0—'^ Pdes(n,m>e ) = C„„>e------ (25)
CteV > >eb' M>e0 NM>e0 , (25)
где M - количество возможных нарушений требований по ЗИ с категорией, не менее е0,
П emax MA k )
M>_Eo =ZZ Z (k), (26)
k=1 е=е0 i=1
а вероятность выявления в составе ИС не менее m>m нарушений определяется по формуле:
При этом вероятность выявления в составе ИС не более т'|т нарушений определяется по формуле:
Pe (n, m > ) = 1 — Pdes (n, m > )
lim
>
>e
(28)
Для определения требуемого объема выборки рассмотрим случай, когда для оценки эффективности контроля учитываются все нарушения с категорией е. В этом случае сначала необходимо рассчитать вероятность того, что получаемая в ходе проведения контрольных мероприятий выборочная величина Пе отклонится от своего сред-
него значения на величину из соотношения (5):
, которая находится
Рд (
Пе-П
<5) = Ф(
5
2 • -
D„
(29)
где ф(х) - интеграл вероятности (4). Задавая значение вероятности, можно определить значение & и доверительный интервал значений е:
5 =,
2^ ^Ф-1(Рд )
П
(30)
M > m M — m>
р (nmlim) = ^ Cm>e . nm>e ■ (N — П) >* >
Pdes(n, m>eb> = ^ CM >e M . (27)
m>e=m|;; -
NM > e°
График приведенной зависимости показан на рис.4.
0.8
0.6
0.4
0.2
ДПе = (Пе-5; Пе+5)
(31)
где ф_1(рд) - функция, обратная интегралу вероятности ф.
При этом объем выборки П выбирается такой, чтобы не пропустить с указанной вероятностью нарушения безопасности информации категории е. Величина п с учетом соотношения (30) и (19) рассчитывается следующим образом:
п =
N
р(е)
1 det
52 • (N-1)
2 р(е)
det
(32)
[Ф" • (1-Ры).' )
определяется из соотно-
где вероятность ра шения (20).
Предложенные соотношения позволяют количественно обосновывать объем контрольных мероприятий, если применяется метод однократной выборки.
10
Рис. 4. Зависимость вероятности выявления
не более т!^ нарушений безопасности информации от значения т^ при различных количествах возможных нарушений М>
П
0
1
5
Литература
1. Платонов Б.Ф., Язов Ю.К., Аксютин В.М. К оценке размеров выборки при контроле безопасности информации в компьютерных системах. / Информация и безопасность. - 2008. Т. 11. № 4. С. 597-600.
2. ГОСТ Р 50922 - 2006. Защита информации. Основные термины и определения.
3. Н.В. Смирнов, И.В. Дунин-Барковский. Курс теории вероятностей и математической статистики для технических приложений. Издание третье. Изд-во «Наука». Главная редакция физико-математической литературы. - М.: 1969.- 512 с.
References
1. Platonov B.F., lazov Iu.K., Aksiutin V.M. K otsenke razmerov vyborki pri kontrole bezopasnosti informatsii v komp'iuternykh sistemakh. / Informatsiia i bezopasnost'. - 2008. T. 11. № 4. S. 597-600.
2. GOST R 50922 - 2006. Zashchita informatsii. Osnovnye terminy i opredeleniia.
3. N.V. Smirnov, I.V. Dunin-Barkovskii. Kurs teorii veroiatnostei i matematicheskoi statistiki dlia tekhnicheskikh prilozhenii. Izdanie tret'e. Izd-vo «Nauka». Glavnaia redaktsiia fiziko-matematicheskoi literatury. - M.: 1969. 512 s.