CC BY
124
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Дмитриев А.С., Залогин Н.Н., Иванов В.П. и др. Способ маскировки радиоизлучений средств вычислительной техники и устройство для его реализации // Авторское свидетельство № 1773220, приоритет от 21.09.1981г.
2. Дмитриев А.С., Иванов В.П., Лебедев М.Н. Модель транзисторного генератора с хаотической динамикой.// - Радиотехника и электроника. 1988. Т. 23. № 5. - С.1085-1088.
3. Лебедев М.Н., Иванов В.П. Генераторы с хаотической динамикой. Приборы и техника эксперимента. - М. Наука, 2002. № 2, - С. 94-99.
4. Кальянов Э.В., Иванов В.П., Лебедев М.Н. Принудительная и взаимная синхронизация генераторов при наличии внешнего шума.// - Радиотехника и электроника. 1990. Т. 35. № 8, С.1682-1687.
5. Кальянов Э.В., Иванов В.П., Лебедев М.Н. Экспериментальное исследование транзисторного генератора с запаздывающей обратной связью // Радиотехника и электроника. 1982. Т.27. № 5. - С. 982-986
6. Судаков Ю.И. Амплитудная модуляция и автомодуляция транзисторных генераторов (теория и расчет). - М.: Энергия, 1969. - 392 с.
7. Харкевич А.А. Очерки общей теории связи. - М Государственное издательство научно-технической литературы. 1955.
8. Лебедев М., Н., Иванов В.П., Сак В.В. Устройства радиомаскировки информационных излучений СВТ//Информационно-методический журнал «Защита информации. Конфидент». № 1. 2001. - С.35-37.
9. Безруков В.А., Иванов В.П., Калашников В.С., Лебедев М.Н. Патент на изобретение № 2170493 "Устройство радиомаскировки" по заявке № 2000112294 от 15.05.2000г. Бюллетень изобретений № 19, 10.07.2001г. Россия.
10. Безруков В.А., Иванов В.П., Лебедев М.Н. Патент на изобретение № 2224376 "Устройство радиомаскировки" по заявке № 20002115415 от 07.06.2002г. Бюллетень изобретений № 5, 20.02.2004г. Россия.
11. Иванов В.П., Лебедев М.Н., Волков А.И. Устройство радиомаскировки.
12. Патент № 38257, Россия. Дата публ. 2004. 27. 05.
В.В. Анищенко, А.М. Криштофик
Беларусь, г. Минск, ОИПИ НАН Беларуси
КОМПЛЕКСНАЯ ОЦЕНКА УГРОЗ БЕЗОПАСНОСТИ
Введение
Для построения комплексной защиты информации необходимо выявить угрозы безопасности (УБ), оценить их последствия - опасность каждой угрозы и создать адекватные меры защиты. Формирование методологии выявления УБ осуществляется по следующим направлениям:
- систематизация и статистическая оценка атак и попыток несанкционированного доступа к объектам информации;
- экспериментальное тестирование информационных систем на предмет обнаружения уязвимых мест, использование которых возможно для реализации угроз;
- создание аналитических и имитационных моделей процессов функционирования ИС, угроз безопасности и генераторов атак;
- экспертный анализ и экспертные оценки с привлечением специалистов: системных администраторов, администраторов безопасности, аудиторов ИБ и других специалистов в области безопасности информации.
Оценка проводится, как правило, с использованием моделей общей оценки угроз, которые являются основой оценки как самих УБ, так и потерь, которые могут иметь место при их проявлении. Модели данного типа важны еще и тем, что именно на них, в основном выявлены те условия, при которых такие оценки могут
быть адекватны реальным процессам защиты информации. К настоящему времени разработаны различные табличные, диаграммные, формализованные, имитационные модели УБ. Однако, несмотря на достоинства этих моделей, ни одна из них не позволяет одновременно учесть три основных параметра — уязвимость, активизируемая атакой, метод ее реализации и возможные последствия. Другими словами, остаются неразрешенными вопросы комплексности модели.
Комплексная модель угрозы безопасности
Рассмотрим множество угроз активам У = {у, т(уг)}, ' = 1,1, которые исходят из окружающей среды объекта оценки (ОО) и создают опасность для его работы и против которых требуется защита. Носителем нечеткого множества У
И
является универсальное четкое множество всех известных угроз У , на котором
т(у1) > 0. Элементы у множества угроз У = {уг, т(уг)},г = 1,1 характеризуются
нечетким случайным коэффициентом опасности, который является его динамической характеристикой (рис. 1) и в общем случае определяется выражением
0 при / < /¿о
- е-1 г (/-/'0 ^ при / > /г0 '
."(' ) =
Кг
где КI = П ^¡х - максимальное значение коэффициента опасности угрозы, оп-
Х1=1 1
ределяемое через X1 -е характеристики нарушителя (мотивация, квалификация, используемый ресурс и др. в зависимости от метода оценки); х2
1 г = П 1 ¡X - параметр угрозы, характеризующий скорость ее реализации и
Х>2 =1
определяемый через х 2 -е характеристики нарушителя (метод и средство реализации угрозы и др. в зависимости от метода оценки);
о - параметр угрозы, характеризующий время начала реализации угрозы -начало стадии вторжения в систему, определяемое длительностью фазы рекогносцировки и зависящее х - х характеристик нарушителя, х = и(х1, х 2) (рис. 2).
1
0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2
t
123456789 10 11
Рис. 1. Зависимость коэффициента опасности угрозы от времени
В основу разработки комплексной модели угрозы безопасности положены ее жизненный цикл и математическая модель объекта информационных технологий [1]. Жизненный цикл угрозы (процесс ее реализации) состоит из четырех стадий ее
0,1
реализации: рекогносцировка, вторжение, атакующее воздействие и развитие или завершение атаки.
Мотивация 4 Квалификация 4 Используемый Метод 4 Средство
ресурс реализации реализации
к*
,1 ,* „* „* „ „
подмножество уязви-
Рис. 2. Диаграмма модели нарушителя
Для построения математической модели угрозы использовались базовая модель объекта информационных технологий (ОИТ), представляющая собой граф взаимодействия элементов безопасности «угрозы - уязвимости - активы - риски -ущерб», характеризующих внешнюю среду безопасности, объект оценки и последствия этого взаимодействия, в плане взаимодействия элементов безопасности и комплексных показателей защищенности, положения Общих критериев.
В отличие от базовой модели ОИТ используется множество остаточных уяз-вимостей с учетом наличия в нем определенных средств обеспечения безопасности [2], множество которых при использовании общесистемного критерия «эффективность-стоимость» определяется с учетом времени реализации угрозы и реакции средства защиты, нейтрализующего данную угрозу.
Множество остаточных уязвимостей определено как объединение двух подмножеств V* = V** иV* =|;к*}к* = *,К* ,
где V** = VхМ = {>к*=(ук,тд>}, к** = 1,К** ,К* = КхQ
мостей, перекрытых средствами обеспечения безопасности и обусловленное ограниченной их стойкостью, определяемое декартовым произведением множества уязвимостей V и множества средств обеспечения безопасности М объекта оценки;
V* = \^к* I гс = ( У1,ук,ау) < гс доп |, V* с V - подмножество уязвимостей, не
перекрытых средствами обеспечения безопасности.
Элементы множества остаточных уязвимостей характеризуют слабости средств обеспечения безопасности, а также пути реализации угроз, не перекрытые ими, т.е. свойства ОИТ и системы обеспечения безопасности активов, способствующие успешному осуществлению угрозы или которые могут быть использованы для осуществления угрозы.
Дополнительно в модель атаки введено множество нарушителей информационной безопасности X ={х[}, I = \,Ь , характеризуемых такими показателями, как квалификация, используемый ресурс и мотивация, учет которых в модели ОИТ условно подразумевался в характеристиках множества угроз У = (у{ },г = *,1.
В результате взаимодействия этих множеств возникает остаточный риск нанесения ущерба владельцам активов, обусловленный наличием остаточных уязви-мостей
Я=XхYXVхМхА=XхYXV* хА=(с = {х1,у,V*,а] >}= {х1,у , у,т ,а] >,
с=\С, С*= IхК*хJ,
Я=^иЯ2, Я1= XхYхV1*хMхА, Я2 = XхYхГ*хА
Модель типовой атаки представлена на рис. 3.
Она отражает процесс нанесения ущерба владельцам активов. Использование модели системы защиты [3] относительно одной угрозы позволяет провести ее детализацию, рассмотреть возможность проведения атаки последовательно, используя несколько уязвимостей, или в обход средств обеспечения безопасности.
Сценарный уровень (этапы достижения целей)
Этапы сценария (реализации внешней угрозы)
Разведка
Внедрение
Получение привилегий
Реализация угрозы
Завершение
Этапы сценария (реализации внутренней угрозы)
Внедрение
Получение привилегий
Реализация угрозы
))
Завершение
Уровень реализация (нанесения ущерба)
Нарушитель Угроза 4 Уязвимость Активы Щ Ущерб
Рис. 3. Модель угрозы безопасности
В качестве показателя, характеризующего комплексный потенциал атаки,
будем использовать средний риск нанесения ущерба Rcpik = X rijPi либо
]
ущерб, наносимый владельцам активов Ucpk = XSijkrikjPi < в зависимости от
J
назначения ОИТ [4]. В условиях частичной априорной неопределенности относительно вероятностей реализации атак используется минимаксный критерий эффективности. В этом случае в качестве потенциала атаки целесообразно использовать
максимальный риск нанесения ущерба Rmaxik = X rikj или соответствующий ему
j
ущерб Umax ik = X siJk rikJ .
j
Оценочное значение элемента множества рисков определяется выражением
K *
= KX[Ky, [[myiV * Kv * Ko. , где Kxp - оценки нарушителя, угрозы, уязви-
*
r.„* .
iK j
k*
мости и актива, соответственно определяемые на основании характеристик элементов безопасности, ту ^ - коэффициент корреляции угрозы и уязвимости, оп-
ределяемый на основании характеристик квалификации нарушителя и доступности уязвимости [5].
Таким образом, комплексным показателем потенциала атаки является риск от реализации определенной угрозы через установленные уязвимости на определенный вид активов.
Порядок оценки и ранжирования угроз безопасности
Для ранжирования угроз безопасности целесообразно использовать частный интегральный показатель защищенности, средний риск нанесения ущерба при реализации угрозы определенного вида ЯСр^ = XX _1к] Р = X _ур, 1 = , харак-
к } 1
теризующий степень опасности определенной угрозы, как отдельный элемент безопасности, характеризующий возможности по нанесению ущерба при реализации угрозы определенного вида, т.е. степень опасности угрозы [5, 6]. Порядок комплексной оценки и ранжирования угроз безопасности приведен на рис. 4 [7].
В зависимости от априорного описания оценки, в том числе нечеткий статистический и нечеткий.
В первом случае для определения элементов множества рисков используются вероятностные оценки нечеткого случайного события:
¥
- герадтшстъ р(гк )= (г1к] )т{_к]) ^к,;
—¥
- математическое ожидание Е_— = (ег_щ (т), Е_1к, (т)) ;
- дисперсия ощ = 05 Ьк,- (т)— Ег_к (т))2(т)—Е_к (т))2
оё
_,_ - соответствующие ветви функции принадлежности при обратном отображении т = (т, т)о < т £ 1 •
Для определения потенциала атаки используются формулы теории вероятностей, поскольку в данном случае кроме нечеткости по Заде используются дополнительные операции, такие как включение, алгебраическая сумма и алгебраическое произведение по Бандлеру и Кохоуту, эквивалентность.
При втором подходе для определения потенциала атаки операция суммирова-
ф, где
ния определяется выражением
/ V
XXm IX'/.
. I I « 1
в котором сумми-
рование элементов носителей является скалярным, а значение функции принадлежности вычисляется согласно правила центра тяжести, используем в операции
X )
дефазификации X т
I
X
I
X
I
Таким образом, комплексный подход к оценке и ранжированию УБ предусматривает использование частного интегрального показателя защищенности, характеризующего возможности по нанесению ущерба при ее реализации, по которому и производится ранжирование.
Рис. 4. Порядок оценки и ранжирования угроз безопасности
Заключение
Рассмотрен важный в методическом и прикладном плане вопрос оценки и ранжирования угроз безопасности, основанный на системном подходе, предусматривающий проведение оценки негативных последствий от нарушения ИБ от
реализации определенной угрозы. В зависимости от степени детализации он может быть использован при разработке политики безопасности, проектировании профиля защиты (задания по безопасности, построении системы защиты).
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Анищенко В.В., Криштофик А.М. Базовая модель объекта информационных технологий. /Информатика № 3 (7). - Минск: ОИПИ НАН Беларуси, 2005. - С. 116-125.
2. Анищенко В.В., Криштофик А.М. Базовая модель системы защиты активов объекта информационных технологий. /Материалы докладов и краткие сообщения II Белорусско-российской научно-техн. конф. «Технические средства защиты информации», 17 мая-21 мая 2004, Минск-Нарочь. Доклады БГУИР. - 2004. № 5. - С. 9.
3. Криштофик А.М., Анищенко В.В. Управление информационной безопасностью на основе системного анализа рисков//Доклады пятой междун. конференции «Обработка информации и управление в чрезвычайных и экстремальных ситуациях». - Минск.: ОИПИ НАН Беларуси, 2006, - С.117-122.
4. Анищенко В.В., Криштофик А.М. Показатели защищенности информационных систем // Материалы конференции «Обеспечение безопасности информации в информационных системах», Минск, 11 ноября 2004 г.- Минск: Академия управления, 2004, - С. 30-33.
5. Криштофик А.М. Априорная оценка потенциала атаки /Управление защитой информации, т.10 №1, 2006, Минск-Москва. - Минск.: ООО «Марфи», 2006, - С. 47-49.
6. Криштофик А.М. Модель комплексной оценки потенциала атаки // Материалы X междун. конференции «Комплексная защита информации». - Минск.: Амалфея, 2006, -C.111-113.
7. Анищенко В.В., Криштофик А.М. Использование комплексного подхода для ранжирования угроз информационной безопасности // Материалы конференции «Обеспечение безопасности информации в информационных системах», Минск, 11 ноября 2004 г. -Минск. Академия управления, 2004, - С. 33-36.
А.М. Криштофик, В.В. Анищенко
Беларусь, г. Минск, ОИПИ НАН Беларуси
МЕТОДОЛОГИЯ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ
Введение
Существующая нормативно-методическая база по вопросам безопасности информационных технологий (ИТ) имеет определенные недостатки. Основными из них являются: игнорирование системного подхода, как методологии построения системы защиты информации (СЗИ); отсутствие механизмов достоверного подтверждения качества и достаточности средств защиты, недостаточность проработки вопросов моделей системы защиты, системы показателей и критериев безопасности ИТ; статический подход к оценке уязвимостей [1].
Это обусловливает необходимость развития нормативно-методической базы, методик и моделей оценки защищенности на основе системного подхода.
1. Системный подход к построению системы защиты
Методология обеспечения безопасности ИС основана на концепциях анализа и управления рисками [1]. Основным недостатком существующих подходов к оценке рисков информационной безопасности (ИБ) является предположение об идеальной стойкости средств защиты.
Методологический подход к построению и оценке СЗИ с использованием системного анализа рисков основан на новых определениях остаточных уязвимостей, риска и ущерба [2]. Он предполагает проведение анализа взаимодействия элементов безопасности, характеризующих внешнюю среду, объект оценки и по-
