JOURNAL OF NEW MEDICAL TECHNOLOGIES, eEdition - 2018 - N 4
УДК: 663.1:004.056 DOI: 10.24411/2075-4094-2018-16128
МЕТОДИКА ОЦЕНКИ НАДЕЖНОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА МЕДИЦИНСКОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЫ
В .П. ГУЛОВ*, В .П. КОСОЛАПОВ*, Г.В. СЫЧ*, А.В. СКРЫПНИКОВ**, В.А. ХВОСТОВ**
ГБОУ ВО «Воронежский государственный медицинский университет им. Бурденко Н.Н. Минздрава России», ул. Студенческая, д.10, Воронеж, Россия, 394000 ГБОУ ВО «Воронежский государственный университет инженерных технологий», пр-т. Революции, д.19, Воронеж, 394000, Россия
Аннотация. Основой безопасности персональных данных, обрабатываемых в медицинских информационных системах, является высокое качество работы программных систем защиты информации от несанкционированного доступа. Наряду с требованием низкой ресурсоемкости и высоких показателей удобства использования, понятности и модифицируемости, одной из наиболее важных характеристик является надежность таких систем. При этом под надежностью понимается эффективность выполнения защитных функций в течение требуемого времени. Для проведения оценки этого показателя проведен анализ принципов построения и функционирования систем от несанкционированного доступа, используемых в медицинских информационных системах для обеспечения защиты. Для проведения оценки надежности систем защиты предложена методика, основанная на применении метода прямого перебора элементов программной системы с монотонной структурой. Количественное описание надежности систем защиты осуществляется по составной функции наиболее общего вида, отображающей функционирование системы в целом. При этом под отказом системы от несанкционированного доступа выбрано такое состояние, при котором нарушается состояние безопасности информации. Методика позволяет с приемлемой для практических приложений целей получить оценки надежности работы систем защиты информации применяемых при защите персональных данныхв медицинских информационных системах.
Ключевые слова: информационная безопасность, система с монотонной структурой, программный модуль, сложная программная система.
METHODOLOGY OF EVALUATION THE RELIABILITY OF THE INFORMATION PROTECTION
SYSTEM FROM UNAUTHORIZED ACCESS TO THE MEDICAL INFORMATION SYSTEM
V.P. GULOV*, V.P. KOSOLAPOV*, G.V. SICH*, A.V. SKRIPNIKOV**, V.A. KHVOSTOV**
* Voronezh State N. N. Burdenko Medical University of the Ministry of health of Russia, Studencheskaya Str., 10, Voronezh, 394036, Russia
Voronezh State University of Engineering Technologies, Revolution Avenue, 19, Voronezh, 394000, Russia
Abstract. The basis for the security of personal data (PDD) processed in medical information systems (IS) is the high quality of the operation of software information protection systems (PIC) from unauthorized access. Along with the requirement of low resource intensity and high indicators of ease of use, understandability and modifiability, one of the most important characteristics is the reliability of the ISS. At the same time, reliability means the effectiveness of performing protective functions for the required time. To assess this indicator, an analysis was made of the principles of constructing and operating the NTP from NDs used in medical information systems to provide protection (PDN). For the evaluation of the reliability of the CPS, a technique based on the application of the method of direct enumeration of the elements of a software system with a monotonic structure was proposed. Quantitative description of the reliability of protection systems is carried out by a composite function of the most general type, which reflects the functioning of the system as a whole. In this case, under the refusal of the NPL from the NSD, a state is selected in which the security state of the information is violated. With acceptable for practical applications, this methodology allows to estimating the reliability of the information protection systems used to protect personal data in medical information systems.
Key words: information security, system with a monotonous structure, software module, complex software system.
Как результат применения программных (программно-аппаратных) систем защиты информации (СЗИ) для обеспечения информационной безопасности медицинских информационных систем (МИС) от несанкционированного доступа (НСД) обнаруживается ряд проблем. Основной проблемой является уменьшение надежности СЗИ от НСД во времени, что подтверждается в ходе эксплуатации таких систем. В связи с этим, обоснованию их надежности необходимо уделять повышенное внимание. Однако
JOURNAL OF NEW MEDICAL TECHNOLOGIES, eEdition - 2018 - N 4
методической основы формирования требований к надежности СЗИ от НСД уделено не достаточное внимание, что обуславливает актуальность предложенной в данной статье методики оценки надежности.
В соответствии со сложившимся к настоящему времени методическим подходом оценки надежности сложных программных систем (ПС) в [2], необходимо провести анализ архитектурны и характеристики функционирования СЗИ от НСД.
Как объект оценки надежности критически важным свойством СЗИ от НСД является их модульно-иерархическая структура, которая отражает декомпозицию на программные модули и связи между ними. Установившаяся практика иерархического многоуровневого построения сложных ПС применяется для упрощения разработки сложных программных комплексов, их концептуального проектирования и повседневной эксплуатации, уменьшения затрат и времени на разработку, оптимизации усилий и позволяет рассматривать СЗИ от НСД при разработке методик расчётов надежности как программную систему с расчлененной структурой.
Надежность элементов системы с расчлененной структурой позволяет независимое формирование показатели надежности. При этом, показатели надежности могут быть определены заранее, так как отказы в данных обстоятельствах могут рассматриваться как случайные события, независимо от достигнутых состояний остальных программных модулей. Каждый элемент программной системы расчлененной структуры имеет множество выходных параметров, влияющих только на работоспособность этого элемента.
По принципу построения программной системы, языкам описания, объему и остальным характеристикам можно четко выделить следующие иерархические уровни сложных ПС [6]:
- соответствующий компонентам текста программы уровень операторов и операндов программ на языке программирования;
- законченные компоненты текста программы как уровень программных модулей;
- пакетов прикладных программ как уровень функциональных групп программ;
- завершенный программный продукт определенного целевого назначения как уровень комплексов программ.
В качестве целесообразного уровня иерархии сложных ПС для разработки методики оценки надежности СЗИ от НСД необходим выбор уровня программных модулей. Этот выбор обусловлен рядом особенностей данного уровня:
- программный модуль реализует функциональную задачу и, соответственно, достаточно сложный;
- показатель надежности характеризует его в целом, а не его составные части;
- восстановление работоспособности дискретного программного модуля реализуется независимо от восстановления остальных программных модулей СЗИ от НСД.
Для построения схемы связей элементов СЗИ от НСД была использована техническая документация современной СЗИ [1, 2]. В результате была составлена последовательность выполнения программных модулей СЗИ от НСД, представленная на рис. 1.
Xi - аппаратная составляющая СЗИ от НСД;
X2 - модуль идентификации и аутентификации;
X3 - модуль контроля целостности исполняемых файлов;
X4 - модуль администрирования СЗИ от НСД;
X5 - локальные базы учетных записей;
X6 - модуль управления доступом;
X7 - модуль аудита, сигнализации об НСД и блокировки ПЭВМ;
X8 - сетевые службы СЗИ;
X9 - модуль учета и маркировки документов;
Xi0 - модуль преобразования носителей информации;
Xii - интерфейс с низкоуровневыми средствами операционной системы;
Xi2 - модуль пользовательских служб СЗИ от НСД.
В соответствии с параметром времени программные модули СЗИ то НСД, приведенные на рис. 1, подразделяться на четыре типа.
Первый тип модулей запускается на исполнение при загрузке защищенной ПЭВМ. К нему относятся: аппаратная составляющая СЗИ от НСД; программный модуль идентификации и аутентификации; программный модуль контроля целостности; программный модуль аудита, сигнализации НСД и блокировки ПЭВМ.
Второй тип модулей запускается на исполнение при выполнении работы пользователя на ПЭВМ. К этому типу относятся: программный модуль разграничения доступа (по правилам дискреционного и мандатного принципов доступа) к защищаемым ресурсам; программный модуль учета и маркировки документов; программный модуль преобразования носителей информации; программный обеспечивающий интерфейс СЗИ от НСД с операционной системой; сетевые службы.
иОУРМЛЬ ОР NEW МЕй!СДЬ ТЕС^ОЬО^ЕБ, вЕШоп - 2018 - N 4
Рис. 1. Последовательность выполнения программных модулей СЗИ от НСД
Третий тип модулей СЗИ от НСД запускается по пользовательскому запросу. К нему относятся ряд пользовательских служб (просмотр прав доступа и смена меток, контроль целостности по запросу, блокировка монитора, маскирующее удаление).
Четвертый тип модулей запускается при администрировании и управлении СЗИ от НСД.
Таким образом, СЗИ от НСД можно характеризовать как сложную структуру. Структура СЗИ не может быть сведена к последовательно-параллельным или параллельно-последовательным соединениям. В литературе по проблемам надежности [2] такие системы обычно называются системами с монотонной структурой. Их можно характеризовать следующим свойством: при отказе любого элемента ухудшается надежность всей системы или ее полный отказ.
Оценка надежности систем представляющей собой монотонную структуру осуществляется в соответствии с методикой разработанной в [3]. Учитывая небольшое количество программных модулей СЗИ, а также на основе вывода о сложности использования методов оценки надежности систем с монотонной структурой на основе метода разложения относительного особого элемента, использования имитационного моделирования функционирования СЗИ, минимальных разрезов и путей при расчетах применяется метод основанный на прямом переборе элементов.
С учетом выбранного метода оценки надежности СЗИ от НСД как ПС с монотонной структурой введем критерий отказа этой системы, определяющий деление множества возможных состояний на два
подмножества: подмножество ] работоспособных состояний подмножество состояний отказа
Как показано в [6-8] в качестве количественного описания надежности используется каждая функция ПС в отдельности, или по составная функция общего вида, отображающая работу ПС в целом. Проведя анализ состава выполняемых СЗИ функций [1], при выборе критериев отказа можно применить подход с использованием составной функции. В качестве составной функции СЗИ необходимо выбрать обеспечение информационной безопасности АС. Под отказом СЗИ в таком случае понимается состояние, при котором в системе нарушена безопасности информации.
В качестве признаков состояния отказа СЗИ необходимо выбрать следующие:
- реализована возможность входа в операционную среду АС без идентификации и аутентификации;
- возможен доступ к информации в обход установленной политики разграничения доступа;
- можно реализовать запись информации высшего уровня конфиденциальности на носители низшего уровня;
- не выполняется контроль целостности файлов настройки операционной системы;
- отсутствует реакция на реализацию угроз безопасности информации.
Условием отказа СЗИ от НСД является появление хотя бы одного из указанных выше признаков нарушения работоспособности.
ВЕСТНИК НОВЫХ МЕДИЦИНСКИХ ТЕХНОЛОГИИ, электронный журнал - 2018 - N 4 JOURNAL OF NEW MEDICAL TECHNOLOGIES, eEdition - 2018 - N 4
Система защиты, состоит из n программных модулей. Каждый модуль находится в состоянии отказа или в состоянии работоспособности. Система защиты, соответственно может находиться в 2" различных состояниях:
Ho - все " программных модулей СЗИ работоспособны;
H
' - отказал ' - ый программный модуль СЗИ, остальные работоспособны;
H
iJ - отказал i -ый и J -ый программные модули СЗИ, остальные работоспособны;
H
1,2,..м - отказали все программные модули СЗИ.
Пусть для каждого состояния На е{н ^ определена вероятность этого события Р. Тогда вероятность работоспособного состояния СЗИ определяется как:
Р{Иа е 0}= XРа
ИаЕО (1)
н
С учетом независимости программных модулей вероятности состояний а определяются в соответствии с формулами [2]:
Ро =ПР г> ПР
1=1 ; к=п*1,1 ; (2)
Р,2,3,...И = РоП 7 =Пй /-1 1=1
где Р и вероятности состояния работоспособности и отказа * - ого программного модуля; 77 = <2>/Р .
Исходя из принципов построения и функционирования СЗИ от НСД, можно определить ее состояния, при которых отказы отдельных программных модулей не приводят к отказу в целом в соответствии с введенным критерием. Перечень таких состояний представлен в табл. 1.
Таблица 1
Перечень работоспособных состояний СЗИ
№ состояния Состояния программных модулей
Xl X2 x3 X4 X5 x6 x7 Xs Xg x10 X11 x12
0 1 1 1 1 1 1 1 1 1 1 1 1
1 1 1 1 0 1 1 1 1 1 1 1 1
2 1 1 1 1 1 1 1 1 1 1 1
3 1 1 1 1 1 1 1 1 1 1 0 1
4 1 1 1 1 1 1 1 1 1 1 1 0
5 1 1 1 0 1 1 1 1 1 1 1
6 1 1 1 0 1 1 1 1 1 1 0 1
7 1 1 1 0 1 1 1 1 1 1 1 0
8 1 1 1 1 1 1 1 0 1 1 0 1
9 1 1 1 1 1 1 1 0 1 1 1 0
10 1 1 1 1 1 1 1 1 1 1 0 0
11 1 1 1 0 1 1 1 0 1 1 0 1
12 1 1 1 1 1 1 1 0 1 1 0 0
13 1 1 1 0 1 1 1 0 1 1 1 0
14 1 1 1 0 1 1 1 1 1 1 0 0
15 1 1 1 0 1 1 1 0 1 1 0 0
В табл. 1 х. = 1 и х, = 0 означает, что программный модуль СЗИ находится соответственно в работоспособном состоянии и в состоянии отказа.
Подставив выражения (2) в (1) применительно к перечню работоспособных состояний СЗИ от НСД, представленному в табл. 1, получим окончательное выражение методики для расчета вероятности правильного выполнения защитных функций системы:
Р= Р0(1 + Г 4 + 78 + 711 + 712 + 7 л7 8 + ГлГи + 74712 + 7%7и + 7*7п + ГиГи +
7а787П + 787п712 + 7478712 + 747п712 + 74787п712)
JOURNAL OF NEW MEDICAL TECHNOLOGIES, eEdition - 2018 - N 4
p
Показатель , входящий в математические выражения (2), имеет смысл вероятности безотказной работы программного модуля СЗИ от НСД в течение заданного времени. Как показано в [6], наилучшей аппроксимацией для данного показателя является экспоненциальный закон распределения.
P (t) = 1 - exp(-A.t) t А «
,w ,J, где '- параметр времени; • - параметр потока ошибок в процессе эксплуатации
• -го программного модуля СЗИ от НСД.
а
Значение параметра • с достаточной для проводимых расчетов точностью можно определить как:
а=АГ *V А~ _
• ср пр, где ср - средняя интенсивность проявления ошибок в процессе эксплуатации программ-
7 V
ной системы (составляет величину примерно 10- на символ объектного кода программы [6]); пр - объем
программы в символах объектного кода.
С использованием разработанной методики оценки надежности СЗИ от НСД были проведены расчеты вероятности правильного выполнения защитных функций системы в течение десяти часов. В качестве
V
исходных данных использовались значения параметра пр программных модулей СЗИ «Ребус», полученные в результате ее сертификационных испытаний. Результаты расчетов представлены на рис. 2.
Pszi (t) 0.95
0.9
10
0
Рис. 2. Зависимость вероятности правильного выполнения защитных функций СЗИ от времени
Таким образом, для расчета вероятности правильного выполнения защитных функций СЗИ от НСД в МИС применим метод прямого перебора элементов программной системы с монотонной структурой, позволяющий с приемлемой для практических расчетов точностью получать значения показателя надежности ее работы.
Литература
1. Гулов В.П., Полтавченко А.Г., Попов А.С., Хвостов В.А., Чумаков А.А. Обоснование комплекта средств защиты информации на объектах биологической деятельности при проведении вирусологических исследований // Научно-медицинский вестник Центрального Черноземья. 2012. №47 (1 квартал) С. 14-19.
2. Гулов В.П., Хвостов В.А., Чесноков П.Е. Детальный алгоритм множества реализаций угроз информационной безопасности в медицинской информационной системе // Вестник новых медицинских технологий. Электронное издание. 2015. №2. Публикация 1-4. URL: http://www.medtsu.tula.ru/VNMT/ Bulletin/E2015-2/ 5191.pdf (дата обращения: 30.06.2015). DOI: 10.12737/ 11910.
3. Гулов В.П., Попов А.С., Хвостов В.А., Чумаков А.А. Обоснование комплекта средств защиты информации при проведении молекулярно-биологических и генно-инженерных исследований // Прикладные информационные аспекты медицины. 2011. Т. 16, № 2 C. 59-64
4. Информационная технология ISO/МЭК 8631-89. Программные конструктивы и условные обозначения для их представления.
5. Липаев В.В. Надежность и функциональная безопасность комплексов программ реального времени. М.: Изд. Светлица, 2013.
6. Липаев В.В. Проблемы программной инженерии. Лекции ведущих ученых России. Красноярск: СФУ, 2011.
7. Система защиты информации от несанкционированного доступа «Страж NT». Описание применения. URL: http://www.rubinteh.ru/public/opis30.pdf (дата обращения: 04.11.2017).
8. Страж NT. Руководство администратора. URL: http://www.guardnt.ru/downIoad/doc/ ad-
JOURNAL OF NEW MEDICAL TECHNOLOGIES, eEdition - 2018 - N 4
min_guide_nt_3_0.pdf (дата обращения: 03.11.2017).
References
1. Gulov VP, Poltavchenko AG, Popov AS, Hvostov VA, CHumakov AA. Obosnovanie komplekta sredstv zashchity informacii na ob"ektah biologicheskoj deyatel'nosti pri provedenii virusologicheskih issledo-vanij. Nauchno-medicinskij vestnik Central'nogo CHernozem'ya. 2012;47 (1):14-9. Russian.
2. Gulov VP, Hvostov VA, CHesnokov PE. Detal'nyj algoritm mnozhestva realizacij ugroz informa-cionnoj bezopasnosti v medicinskoj informacionnoj sisteme. Vestnik novyh medicin-skih tekhnologij. EHlek-tronnoe izdanie. 2015 [cited 2015 Jun 30];2[about 6 p.]. Russian. Available from: http://www.medtsu.tula.ru/VNMT/ Bulletin/E2015-2/ 5191.pdf. DOI: 10.12737/ 11910.
3. Gulov VP, Popov AS, Hvostov VA, CHumakov AA. Obosnovanie komplekta sredstv zashchity in-formacii pri provedenii molekulyarno-biologicheskih i genno-inzhenernyh issledovanij. Pri-kladnye informa-cionnye aspekty mediciny. 2011;16(2):59-64. Russian.
4. Informacionnaya tekhnologiya ISO/MEHK 8631-89. Programmnye konstruktivy i uslovnye obozna-cheniya dlya ih predstavleniya. Russian.
5. Lipaev VV. Nadezhnost' i funkcional'naya bezopasnost' kompleksov programm real'nogo vremeni. Moscow: Izd. Svetlica; 2013. Russian.
6. Lipaev VV. Problemy programmnoj inzhenerii. Lekcii vedushchih uchenyh Rossii. Krasnoyarsk: SFU; 2011. Russian.
7. Sistema zashchity informacii ot nesankcionirovannogo dostupa «Strazh NT». Opisanie primeneniya. Russian. Available from: http://www.rubinteh.ru/public/opis30.pdf.
8. Strazh NT. Rukovodstvo administratora. Russian. Available from: http://www.guardnt.ru/download/doc/ ad-min_guide_nt_3_0.pdf.
Библиографическая ссылка:
Гулов В.П., Косолапов В.П., Сыч Г.В., Скрыпников А.В., Хвостов В.А. Методика оценки надежности системы защиты информации от несанкционированного доступа медицинской информационной системы // Вестник новых медицинских технологий. Электронное издание. 2018. №4. Публикация 2-4. URL: http://www.medtsu.tula.ru/VNMT/Bulletin/E2018-4/2-4.pdf (дата обращения: 13.07.2018). DOI: 10.24411/2075-40942018-16128. *
* номера страниц смотреть после выхода полной версии журнала: URL: http://medtsu.tula.ru/VNMT/Bulletin/E2018-4/e2018-4.pdf