Научная статья на тему 'Методика оценки соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа с применением выборочного контроля'

Методика оценки соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа с применением выборочного контроля Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
584
80
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / АВТОМАТИЗИРОВАННАЯ СИСТЕМА / ВЫБОРОЧНЫЙ КОНТРОЛЬ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Барабанов А. В.

Рассмотрена возможность применения выборочного контроля при испытаниях автоматизированных систем. Даны рекомендации по оптимизации процедуры испытаний автоматизированных систем.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Барабанов А. В.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Методика оценки соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа с применением выборочного контроля»

УДК 681.3.06

А. В. Барабанов

МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА С ПРИМЕНЕНИЕМ ВЫБОРОЧНОГО КОНТРОЛЯ

Рассмотрена возможность применения выборочного контроля при испытаниях автоматизированных систем. Даны рекомендации по оптимизации процедуры испытаний автоматизированных систем.

E-mail: [email protected]

Ключевые слова: информационная безопасность, автоматизированная система, выборочный контроль.

Согласно проведенным исследованиям [1], на протяжении последних лет наблюдается устойчивый рост количества нарушений информационной безопасности (ИБ), приводящих к утечкам информации из различных автоматизированных систем (АС). Это определяет необходимость усиления мер обеспечения безопасности информации, а также повышения качества оценки соответствия АС требованиям по защите информации (ЗИ) и периодического контроля защищенности. Согласно ГОСТ Р 50922-2006, под оценкой соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа (далее по тексту — оценка соответствия АС) будем понимать прямое или косвенное определение степени соблюдения требований по ЗИ от несанкционированного доступа (НСД), предъявляемых к АС.

Выбор конкретных испытаний при проведении оценки соответствия АС, подготовка, организация и непосредственное их проведение для сложных АС — очень трудоемкий процесс, требующий больших затрат. Это связано, в первую очередь, со сложностью программно-аппаратной реализации современных АС и их территориальным распределением. Таким образом, разработчики и пользователи АС вынуждены искать разумный компромисс между качеством выполнения оценки соответствия и затратами на эту оценку. Оценку соответствия АС с разных этапах жизненного цикла следует выполнять с разными глубиной анализа и полнотой покрытия, что приведет к разумному сокращению временных и материальных затрат.

Проблема проведения оценки соответствия и обзор существующих подходов к ее решению. Используя подход к описанию

процесса тестирования программного обеспечения (ПО), предложенный в [2], процедуру выполнения оценки соответствия АС в общем виде можно сформулировать следующим образом.

Пусть Е = , Е2,..., Ег,...} — множество АС, подвергаемых

процедуре оценки соответствия; ^ з Я = {?!, г2, ...} — множество требований по ЗИ, предъявляемых к АС, Т з Т = {^,12, ...} — множество тестовых процедур, проверяющих реализацию требований по ЗИ. Каждая тестовая процедура t е Т характеризуется следующими элементами: цель выполнения, объекты проверки (факторы оценки соответствия), последовательность выполняемых действий, критерий принятия положительного решения.

Обозначим множество факторов оценки # = {^1, Р2, • • •, }. В качестве примеров факторов оценки можно привести следующие: учетные записи пользователей, внешние устройства хранения данных, правила межсетевого экранирования, действия персонала при нарушении ИБ. Каждый фактор оценки соответствия может принимать несколько возможных значений. Пусть р: ^ Е — М0 — число возможных значений фактора оценки соответствия для данной АС Е . Обозначим множество значений фактора ^ следующим образом:

УР. = (1), уР((2), ., уР((р) |. Например, для процедуры тестирования

механизма дискреционного разграничения доступа факторами являются: множество учетных записей пользователей, множество защищаемых ресурсов, множество возможных прав доступа.

Выполнение оценки соответствия с использованием той или иной тестовой процедуры связано с временными затратами различного характера. Пусть Т: Т х Е — М0 — время, затрачиваемое экспертами на выполнение оценки соответствия АС Е с использованием тестовой процедуры ti.

Оператором корректности выполнения тестовой процедуры t для АС Е будем называть отображение ¥с : Е х Т —> {0,1} :

, ч [1, если тест I выполнен успешно для АСЕ,

рс (Е, * ) = ]: #

[0 в противном случае.

Оператор показывает, что для АС Е выполнение тестовой

процедуры завершилось успешно: фактические результаты, зарегистрированные при выполнении теста, соответствуют эталонным значениям, указанным в описании тестовой процедуры.

Под методом разработки тестовых процедур будем понимать отображение М :Е х ^ ^ Т. Функция М на основе требований по ЗИ Я с ^ и АС Е, подлежащей процедуре оценки соответствия, выполняет генерацию множества тестовых процедур Т. Отметим, что функция М является биективным отображением.

Выполним анализ временных затрат, необходимых на проведение оценки соответствия АС. Пусть выполняется оценка соответствия АС Е требованиям по ЗИ Я = {гх, г2,..., гп}. На стадии планирования испытаний формируется множество тестовых процедур Т = = {^, ..., 1п}, где = М(Е, г ). При этом каждой тестовой процедуре ti сопоставляется множество факторов Р(Р^..., Р^^где

Р(i^ е а отображение ю: Т х Е ^ М0 — число факторов тестовой

процедуры ti для данной АС Е .

Пусть время, затрачиваемое при выполнении любой тестовой процедуры ti на проверку уникального кортежа

= V

составляет Tt (t;) = t = const. Для упрощения анализа положим для V Fj и wt. = w для V tt. Тогда время проведения оценки соответ ствия АС можно оценить следующим образом:

rz = £т ( ,Е) = t^f

i=1

i=1

V

Fit л

V,

V

F- (i)

= tZ(v-v...-v ) = <^ = t

= t • n • V .

i=1

щ раз

i=1

Выполненный анализ показывает, что время, затрачиваемое на проведение испытаний, носит экспоненциальный характер роста.

Задачу оптимизации процедуры проведения оценки соответствия АС можно сформулировать следующим образом. Пусть отображение вида С: Я х Е ^ М0 — затраты на проведение оценки соответствия

АС Е требованиям Я. Тогда задачу оптимизации можно представить в виде (минимизация времени тестирования при ограничениях на затраты)

Yj ( min,

I i

YC(,S)< CM,

_ i

где CM — ограничения, накладываемые на затраты.

В настоящее время разработан ряд подходов к процедуре проведения оценки соответствия АС. Рассмотрим преимущества и недостатки основных подходов, изложенных в следующих документах: руководящие документы Гостехкомисси России, специальные публикации Национального Института стандартов и технологий США, стандарт «Общие критерии».

Руководящие документы Гостехкомисси России [3] являются основными нормативными документами, определяющими процесс сертификации ПО и АС в системах сертификации средств защиты информации (СЗИ). Отметим, что данные документы содержат только набор требований, предъявляемых к исследуемым СЗИ. Требования к процедуре испытаний на функциональном уровне (типовые методы испытаний, полнота покрытия тестами, глубина тестирования и т. п.) устанавливаются испытательной лабораторией при разработке программы и методики испытаний конкретного СЗИ или комплекса СЗИ АС.

Специальные публикации NIST [4] представляют интерес в свете проблемы управления системой ИБ информационных систем. В документах четко и подробно описаны стадии жизненного цикла системы ИБ АС. Однако следует обратить внимание на недостаточно четко формализованную процедуру выбора значений параметров «глубина тестирования» (характеризует уровень детализации оценки соответствия АС) и «покрытие» (характеризует полноту оценки соответствия АС) при проведении анализа защищенности АС. Решение о количестве и типе проверяемых объектов оценки принимается совместным решением предприятия, эксплуатирующего АС, и организации, проводящий оценку соответствия АС, в зависимости от уровня доверия к мерам обеспечения безопасности информации, который необходимо достичь при проведении анализа защищенности.

Стандарт «Общие критерии» [5, 6] используют при проведении сертификационных испытаний параллельно с традиционными руководящими документами Гостехкомиссии России. Трудности с окончательным переходом на «Общие критерии» и отказом от традиционных руководящих документов связаны с тем, что во многих случаях данный переход оказывается экономически нецелесообразным — сертификация предполагает значительный объем подготовительных мероприятий, проводимых заявителем, а также разработку значи-

тельного количества документов [7, 9, 10]. Стандарт [5] предусматривают процедуру применения выборочного контроля при проведении тестирования на функциональном уровне, но не содержит формального методического аппарата формирования подмножества тестовых процедур. Документ [6] включает некоторые указания по процедуре выбора подмножества тестов, но данные указания представлены в неформализованном виде.

Методика оценки соответствия автоматизированных систем требованиям по защите информации. При проведении оценки соответствия АС, как правило, применяют следующие методы: экс-пертно-документальный метод, метод опроса и инструментальный метод. Предлагаемым подходом к минимизации временных и материальных затрат на выполнение оценки соответствия является использование метода выборочного контроля при проведении испытаний. Выборочный контроль предполагает применение процедуры проверки менее чем к 100 % совокупности элементов (выборка) при использовании экспертно-документального метода, метода опроса или инструментального метода. Размер выборки можно определить исходя из следующих соображений. Результаты выборочного контроля без возвращения имеют вид гипергеометрического распределения. Пусть имеется конечная совокупность, состоящая из N элементов. Предположим, что В из них обладают нужным нам свойством (например, свойством несоответствия требованию г е Я). Случайным образом из общей совокупности выбирается группа из й элементов. Пусть У — случайная величина, равная количеству выбранных элементов, обладающих нужным свойством. Тогда функция вероятности У имеет вид

р{У = к} = СвС-В .

CN

Исходя из особенности проведения оценки соответствия АС, следует использовать процедуру, при которой проверка считается выполненной успешно только при условии получения положительного результата для всех объектов выборки, т. е. при У = 0. Вероятность вынесения вердикта о соответствии АС требованию по ЗИ при исследовании выборки размером й из тестовой совокупности размером N, содержащей В несоответствующих объектов, определяется выражением

р {у = 0}=

Cd

CN

где q = Б К — уровень несоответствия АС требованию по ЗИ.

Таким образом, задавая значения вероятности Р {У = 0} (с использованием понятий ошибок первого и второго рода) и предельного уровня несоответствия qmax, из последнего выражения можно получить необходимый объем выборки d.

Методика проведения оценки соответствия АС с применением методов выборочного контроля включает в себя следующие этапы.

1. Идентификация требований по защите информации

Исходные данные: комплект программной, эксплуатационной и организационно-распорядительной документации, разрабатываемый на АС Е , для которой выполняется процедура оценки соответствия, нормативно-правовые акты и методические документы по ЗИ.

Выполняемые действия. С использованием экспертно-докумен-тального метода проводится анализ представленной документации на АС Е , а также нормативно-правовых актов и методических документов по ЗИ. Цель анализа — сформулировать в явном виде требования по ЗИ, реализация которых должна быть проверена в ходе проведения оценки соответствия.

Выходные данные: идентифицированный список требований Я = = {г1, г2,..., гп} по ЗИ, предъявляемых к АС Е.

2. Декомпозиция автоматизированной системы

Исходные данные: комплект программной, эксплуатационной и организационно-распорядительной документации, разрабатываемый на АС Е , для которой выполняется процедура оценки соответствия.

Выполняемые действия. С использованием экспертно-докумен-тального метода проводятся анализ архитектуры АС и последующая декомпозиция АС Е на подсистемы, обеспечивающие безопасность информации:

Е = РБХ и РБ2 и... и РБа.

Выполняется последующая декомпозиция (если возможно) подсистем на компоненты, обеспечивающие безопасность информации (программные, программно-аппаратные, аппаратные):

РБ1 = СТ[ и СТ2, и... и СГР.

Выходные данные. На стадии декомпозиции выходными данными являются идентифицированные перечни подсистем обеспечения информационной безопасности {Р5\, РБ2,..., РБа} и перечень компонентов для каждой подсистемы РБ1: {СТ(, СТ2г,..., СТ1}.

3. Трассировка требований по защите информации

Исходные данные: требования Я = {?}, г2,..., гп} по ЗИ, предъявляемые к АС Е , идентифицированные перечни подсистем обеспечения ИБ {РБ1, РБ 2,..., РБа} и перечень компонент для каждой подсистемы РБ1: {СТ/, СТ2г,..., СТ'р }.

Выполняемые действия. С использованием экспертно-докумен-тального метода проводится отслеживание требований по ЗИ Я = {г1, г2,..., гп} к компонентам и подсистемам, которые должны ре-

ализовывать данные требования.

Выходные данные. Выходные данные представляются в виде матрицы трассировки требований 3 = ]):

[1, если г реализуется подистемой PSj,

¿1 j = 1 # [0 в противном случае.

4. Идентификация факторов оценки соответствия

Исходные данные: требования Я по ЗИ, предъявляемые к АС Е, и матрица трассировки требований 3 .

Выполняемые действия. С использованием экспертно-докумен-тального метода выполняется идентификация множества $ =

= {^, /2,..., Г5} факторов оценки, влияющих на процедуру оценки

соответствия. Факторы оценки соответствия могут быть отнесены к одной из следующих групп: документация, механизмы, деятельность и физические лица.

Выходные данные: идентифицированное множество факторов оценки — множество $ = {Е1,/2,...} .

5. Разработка тестовых процедур

Исходные данные: комплект программной, эксплуатационной и организационно-распорядительной документации, разработанный на АС Е, требования по Я ЗИ, предъявляемые к АС, матрица трассировки требований, множество факторов оценки

Выполняемые действия. Проводится идентификация значений фактора /: У/ = {у^у^..., V^— множество значений фактора типа I. Например, для фактора оценки соответствия «учетные записи пользователя» множество Ур, будет состоять из конкретных

идентификаторов учетных записей пользователей оцениваемой АС. Напомним, что р — число возможных значений фактора /.

Разрабатываются тестовые процедуры Т = tг,..., ^}, используемые при проведении оценки соответствия АС Е требованиям по ЗИ Я = {г[, г2, ..., гп}. Каждая тестовая процедура ti характеризуется следующими элементами: цель выполнения, факторы оценки соответствия, объекты проверки — множества Р(Р2^..., ), где

Р^ е $ — последовательность выполняемых действий, критерий

принятия положительного решения.

Выходные данные: множество тестовых процедур Т =

= К, t2, .••, tn

6. Определение приоритетов тестовых процедур

Исходные данные: комплект программной, эксплуатационной и организационно-распорядительной документации, разработанный на АС Е , требования по Я ЗИ, предъявляемые к АС.

Выполняемые действия. В ходе данного этапа определяются приоритеты выполнения тестовых процедур с использованием вычисления приоритетов для идентифицированного множества Я = {г1, г2, ..., гп} требований по ЗИ. Напомним, что реализация требования г е Я проверяется с использованием тестовой процедуры ti е Т.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Невыполнение того или иного требования по ЗИ влечет за собой потенциальное нарушение ИБ — нарушение базовых свойств защищаемой информации (целостность, конфиденциальность, доступность). Определение приоритетов требований г1 е Я по ЗИ выполняется с использованием метода экспертных оценок на основе критериев Кщ), Кад, К30.) потенциального ущерба от нарушения целостности,

конфиденциальности и доступности защищаемой информации соответственно. Вводится следующая качественная шкала оценки потенциального ущерба от невыполнения требований по ЗИ: низкий («Н»), средний («С») и высокий («В»). Оценка критериев К1(;К2(;Кад для

требований по ЗИ осуществляется экспертами в качественной форме: критериям присваиваются значения «Н», «С» или «В». Степень тяжести последствий от невыполнения требования безопасности следует оценивать с учетом следующих показателей: способность организаций, эксплуатирующей АС, выполнять возложенную на нее миссию после нарушений ИБ; степень эффективность и основных функций организации после нарушений ИБ; ущерб, нанесенный активам организации; финансовые потери организации; вред, нанесенный персоналу.

В результате для каждого требования т1 е Я по ЗИ формируется следующее множество:

M(rt ) = {((), V1(i})' ((), V2(i))' ((), V3(i))

где ^^ у^^ уъ(1 )е{"НГ'СVВ"}.

Итоговый приоритет требования г

V (r ) = max v2(0, V3(i)).

Поскольку реализация требования т1 е Я проверяется с использованием тестовой процедуры ti е Т, приоритет V ) тестовой процедуры ^ е Т

V (t¡ ) = ^ (г-).

Выходные данные: множество приоритетов тестовых процедур

{V (tl), V (2),..., V (¡.),..., V (п)}.

7. Определение множества тестируемых объектов

Исходные данные: множество факторов оценки $, множество У, Ур2, ..., Урз } значений факторов оценки, множество приоритетов

тестовых процедур {V (1), V (2), ., V ), ., V (п)}.

Выполняемые действия. Напомним, что каждая тестовая процедура ti е Т характеризуется множеством факторов оценки

где Fj(ii) е При этом каждый фактор / (¡.) мо-

F1(i)' F2(i)' Fa

j (i

жет принимать

V,

Fj(i)

возможных значений. Таким образом, тестовая

процедура ti е Т выполняется для каждого кортежа вида

(), у2(.), % (.) )е % )• (¡). При этом мощность пространства факторов оценки О г =

V,

Л(0

V,

F2(i)

V,

(i)

Для каждой тестовой процедуры t¡ е Т с учетом ее приоритета V) и мощности пространства факторов оценки Оь с использованием выражения (для вероятности вынесения вердикта о соответствии АС требованиям по ЗИ) определяется количество тестируемых

кортежей (предварительно выполняется сопоставление числовых

значений предельных уровней несоответствия и качественных значений приоритета тестовой процедуры). После этого для всех тестовых

процедур формируется dt. тестовых кортежей ), v2{i),..., щ {i) ).

Отметим, что формирование кортежей выполняется случайным образом. По сути, выполняется формирование подмножеств множества

Vf с использованием генератора случайных (псевдослучайных)

Fj(i)

г -, RAND Л

чисел: для Vj е 1, щ выполняется VF ^ VF , где VF с VF . Выходные данные: множество тестовых кортежей вида

. -V- • -V-

1(i) F2(i) рщ (i)

V1(i), V2(i), ., Щ (i) ) е VF(.) • VF2(.) • . • VF (Л для всех тестовых проце

дур ti е T.

8. Выполнение оценки соответствия автоматизированной системы требованиям по защите информации

Исходные данные: множество тестовых процедур T = |t1, t2,..., tn},

множество тестовых кортежей вида (¡- ), у2(.), ..., ^) ) е Гр х

V ^ У 1( ¡')

х Ур • ... • Ур для всех тестовых процедур t¡ е Т.

р2(.) %()

Выполняемые действия. С использованием экспертно-докумен-тального метода, метод опроса и инструментального метода проводится оценка соответствия АС требованиям Я по ЗИ. Последовательность выполняемых действий соответствует указанной в тестовой процедуре, результаты выполнения тестовых процедур регистрируются с использованием программных средств проведения испытаний. После этого осуществляется сравнение эталонных и фактических результатов выполнения тестовой процедуры и принимается решение о соответствии или несоответствии АС предъявляемому требованию безопасности информации. Для анализируемой АС устанавливается соответствие требованию г1 по ЗИ (((Е, ti) = 1). Если получены положительные результаты тестирования для всех корте-

жей ((:), ),..., (.) |еГе •Уъ •...•У£. , множество кортежей

\ 1(.^ 2(.^ ачО)) ) р2(.) Р^ (¡.)' г

имеет вид {(tl, рС (Е, tl )) , ( рС (Е, t2 )) , ., ( , РС ( ^ ))} .

Выходные данные: результаты выполнения тестовых процедур — множество кортежей {(, Рс (Е, ^)), (t2,Рс (Е,t2)), ..., (tn, Рс (Е, tn ))}.

9. Обработка и анализ полученных результатов

Исходные данные: комплект программной, эксплуатационной и организационно-распорядительной документации, разрабатываемый на АС 2, результаты выполнения тестовых процедур

{(A, Fc (2, А)), (, Fc (2, t1 )),..., (, Fc (2, tn ))}.

Выполняемые действия. Проводятся анализ полученных результатов и оформление отчетной документации, как правило, протокола проведения оценки соответствия, содержащего детальное описание выполняемых операций, и технического заключения по результатам проведения оценки соответствия.

Выходные данные: протокол проведения оценки соответствия и технического заключения по результатам проведения оценки соответствия, содержащего вердикт о соответствии или несоответствии АС установленным требованиям.

Предложенный подход к проведению оценки соответствия АС могут использовать аудиторы при оценке временных и материальных затрат на выполнение комплексной проверки, а следовательно, для формирования ценовой политики. Отметим, что подобный подход уместно применять при аудите АС, обрабатывающих информацию, которая содержит сведения, составляющие коммерческую тайну, когда обладатель информации может адекватно оценить риски информационной безопасности [8]. При оценке защищенности АС, обрабатывающих информацию, которая содержит сведения, составляющие государственную тайну или персональные данные, необходимо проводить полноценный анализ защищенности, т. е. переходить к сплошному контролю.

СПИСОК ЛИТЕРАТУРЫ

1. Сводный отчет по безопасности программного обеспечения в России и мире за 2010 год / А.А. Фадин и др.; Под. ред. А.С. Маркова и В.Л. Цирлова. - М.: НПО «Эшелон». 2011.

2. Gourlay J. S. A Mathematical Framework for the Investigation of Testing // IEEE Transactions on Software Engineering. - 1983. - Vol. SE-9, No. 6. - P. 686-709.

3. Сборник руководящих документов по защите информации от несанкционированного доступа. - М.: Гостехкомиссия России, 1998.

4. NIS T SP 800-53A. Guide for Assessing the Security Controls in Federal Information Systems. Gaithersburg: National Institute of Standards and Technology, 2010.

5. ГОСТ Р ИСО/МЭК 15408-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3. - М.: Стандартинформ, 2009.

6. ГОСТ Р ИСО/МЭК 18045-2008. Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий. - М.: Стандартинформ, 2009.

7. Марков А. С., Миронов С. В., Цирлов В. Л. Выявление уязвимостей в программном коде // Открытые системы. СУБД. - 2005. - № 12. - С.64-69.

8. Марков А. С., Цирлов В. Л. Управление рисками — нормативный вакуум информационной безопасности // Открытые системы. СУБД. - 2007. - № 8. С. 63-67.

9. Барабанов А. В., Марков А. С., Фадин А. А. Сертификация программ без исходных текстов // Открытые системы. СУБД. - 2011. - № 4. - С.38-41.

10. Барабанов А. В., Марков А. С., Фадин А. А. Выявление недеклариро-ванных возможностей в декомпилированных текстах программного обеспечения // Изв. Ин-та инженерной физики. - 2010. - Т. 4, - № 18. - С. 24-26.

Статья поступила в редакцию 19.10.2011

i Надоели баннеры? Вы всегда можете отключить рекламу.