УДК 681.3.06
А. В. Барабанов
МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА С ПРИМЕНЕНИЕМ ВЫБОРОЧНОГО КОНТРОЛЯ
Рассмотрена возможность применения выборочного контроля при испытаниях автоматизированных систем. Даны рекомендации по оптимизации процедуры испытаний автоматизированных систем.
E-mail: [email protected]
Ключевые слова: информационная безопасность, автоматизированная система, выборочный контроль.
Согласно проведенным исследованиям [1], на протяжении последних лет наблюдается устойчивый рост количества нарушений информационной безопасности (ИБ), приводящих к утечкам информации из различных автоматизированных систем (АС). Это определяет необходимость усиления мер обеспечения безопасности информации, а также повышения качества оценки соответствия АС требованиям по защите информации (ЗИ) и периодического контроля защищенности. Согласно ГОСТ Р 50922-2006, под оценкой соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа (далее по тексту — оценка соответствия АС) будем понимать прямое или косвенное определение степени соблюдения требований по ЗИ от несанкционированного доступа (НСД), предъявляемых к АС.
Выбор конкретных испытаний при проведении оценки соответствия АС, подготовка, организация и непосредственное их проведение для сложных АС — очень трудоемкий процесс, требующий больших затрат. Это связано, в первую очередь, со сложностью программно-аппаратной реализации современных АС и их территориальным распределением. Таким образом, разработчики и пользователи АС вынуждены искать разумный компромисс между качеством выполнения оценки соответствия и затратами на эту оценку. Оценку соответствия АС с разных этапах жизненного цикла следует выполнять с разными глубиной анализа и полнотой покрытия, что приведет к разумному сокращению временных и материальных затрат.
Проблема проведения оценки соответствия и обзор существующих подходов к ее решению. Используя подход к описанию
процесса тестирования программного обеспечения (ПО), предложенный в [2], процедуру выполнения оценки соответствия АС в общем виде можно сформулировать следующим образом.
Пусть Е = , Е2,..., Ег,...} — множество АС, подвергаемых
процедуре оценки соответствия; ^ з Я = {?!, г2, ...} — множество требований по ЗИ, предъявляемых к АС, Т з Т = {^,12, ...} — множество тестовых процедур, проверяющих реализацию требований по ЗИ. Каждая тестовая процедура t е Т характеризуется следующими элементами: цель выполнения, объекты проверки (факторы оценки соответствия), последовательность выполняемых действий, критерий принятия положительного решения.
Обозначим множество факторов оценки # = {^1, Р2, • • •, }. В качестве примеров факторов оценки можно привести следующие: учетные записи пользователей, внешние устройства хранения данных, правила межсетевого экранирования, действия персонала при нарушении ИБ. Каждый фактор оценки соответствия может принимать несколько возможных значений. Пусть р: ^ Е — М0 — число возможных значений фактора оценки соответствия для данной АС Е . Обозначим множество значений фактора ^ следующим образом:
УР. = (1), уР((2), ., уР((р) |. Например, для процедуры тестирования
механизма дискреционного разграничения доступа факторами являются: множество учетных записей пользователей, множество защищаемых ресурсов, множество возможных прав доступа.
Выполнение оценки соответствия с использованием той или иной тестовой процедуры связано с временными затратами различного характера. Пусть Т: Т х Е — М0 — время, затрачиваемое экспертами на выполнение оценки соответствия АС Е с использованием тестовой процедуры ti.
Оператором корректности выполнения тестовой процедуры t для АС Е будем называть отображение ¥с : Е х Т —> {0,1} :
, ч [1, если тест I выполнен успешно для АСЕ,
рс (Е, * ) = ]: #
[0 в противном случае.
Оператор показывает, что для АС Е выполнение тестовой
процедуры завершилось успешно: фактические результаты, зарегистрированные при выполнении теста, соответствуют эталонным значениям, указанным в описании тестовой процедуры.
Под методом разработки тестовых процедур будем понимать отображение М :Е х ^ ^ Т. Функция М на основе требований по ЗИ Я с ^ и АС Е, подлежащей процедуре оценки соответствия, выполняет генерацию множества тестовых процедур Т. Отметим, что функция М является биективным отображением.
Выполним анализ временных затрат, необходимых на проведение оценки соответствия АС. Пусть выполняется оценка соответствия АС Е требованиям по ЗИ Я = {гх, г2,..., гп}. На стадии планирования испытаний формируется множество тестовых процедур Т = = {^, ..., 1п}, где = М(Е, г ). При этом каждой тестовой процедуре ti сопоставляется множество факторов Р(Р^..., Р^^где
Р(i^ е а отображение ю: Т х Е ^ М0 — число факторов тестовой
процедуры ti для данной АС Е .
Пусть время, затрачиваемое при выполнении любой тестовой процедуры ti на проверку уникального кортежа
= V
составляет Tt (t;) = t = const. Для упрощения анализа положим для V Fj и wt. = w для V tt. Тогда время проведения оценки соответ ствия АС можно оценить следующим образом:
rz = £т ( ,Е) = t^f
i=1
i=1
V
Fit л
V,
V
F- (i)
= tZ(v-v...-v ) = <^ = t
= t • n • V .
i=1
щ раз
i=1
Выполненный анализ показывает, что время, затрачиваемое на проведение испытаний, носит экспоненциальный характер роста.
Задачу оптимизации процедуры проведения оценки соответствия АС можно сформулировать следующим образом. Пусть отображение вида С: Я х Е ^ М0 — затраты на проведение оценки соответствия
АС Е требованиям Я. Тогда задачу оптимизации можно представить в виде (минимизация времени тестирования при ограничениях на затраты)
Yj ( min,
I i
YC(,S)< CM,
_ i
где CM — ограничения, накладываемые на затраты.
В настоящее время разработан ряд подходов к процедуре проведения оценки соответствия АС. Рассмотрим преимущества и недостатки основных подходов, изложенных в следующих документах: руководящие документы Гостехкомисси России, специальные публикации Национального Института стандартов и технологий США, стандарт «Общие критерии».
Руководящие документы Гостехкомисси России [3] являются основными нормативными документами, определяющими процесс сертификации ПО и АС в системах сертификации средств защиты информации (СЗИ). Отметим, что данные документы содержат только набор требований, предъявляемых к исследуемым СЗИ. Требования к процедуре испытаний на функциональном уровне (типовые методы испытаний, полнота покрытия тестами, глубина тестирования и т. п.) устанавливаются испытательной лабораторией при разработке программы и методики испытаний конкретного СЗИ или комплекса СЗИ АС.
Специальные публикации NIST [4] представляют интерес в свете проблемы управления системой ИБ информационных систем. В документах четко и подробно описаны стадии жизненного цикла системы ИБ АС. Однако следует обратить внимание на недостаточно четко формализованную процедуру выбора значений параметров «глубина тестирования» (характеризует уровень детализации оценки соответствия АС) и «покрытие» (характеризует полноту оценки соответствия АС) при проведении анализа защищенности АС. Решение о количестве и типе проверяемых объектов оценки принимается совместным решением предприятия, эксплуатирующего АС, и организации, проводящий оценку соответствия АС, в зависимости от уровня доверия к мерам обеспечения безопасности информации, который необходимо достичь при проведении анализа защищенности.
Стандарт «Общие критерии» [5, 6] используют при проведении сертификационных испытаний параллельно с традиционными руководящими документами Гостехкомиссии России. Трудности с окончательным переходом на «Общие критерии» и отказом от традиционных руководящих документов связаны с тем, что во многих случаях данный переход оказывается экономически нецелесообразным — сертификация предполагает значительный объем подготовительных мероприятий, проводимых заявителем, а также разработку значи-
тельного количества документов [7, 9, 10]. Стандарт [5] предусматривают процедуру применения выборочного контроля при проведении тестирования на функциональном уровне, но не содержит формального методического аппарата формирования подмножества тестовых процедур. Документ [6] включает некоторые указания по процедуре выбора подмножества тестов, но данные указания представлены в неформализованном виде.
Методика оценки соответствия автоматизированных систем требованиям по защите информации. При проведении оценки соответствия АС, как правило, применяют следующие методы: экс-пертно-документальный метод, метод опроса и инструментальный метод. Предлагаемым подходом к минимизации временных и материальных затрат на выполнение оценки соответствия является использование метода выборочного контроля при проведении испытаний. Выборочный контроль предполагает применение процедуры проверки менее чем к 100 % совокупности элементов (выборка) при использовании экспертно-документального метода, метода опроса или инструментального метода. Размер выборки можно определить исходя из следующих соображений. Результаты выборочного контроля без возвращения имеют вид гипергеометрического распределения. Пусть имеется конечная совокупность, состоящая из N элементов. Предположим, что В из них обладают нужным нам свойством (например, свойством несоответствия требованию г е Я). Случайным образом из общей совокупности выбирается группа из й элементов. Пусть У — случайная величина, равная количеству выбранных элементов, обладающих нужным свойством. Тогда функция вероятности У имеет вид
р{У = к} = СвС-В .
CN
Исходя из особенности проведения оценки соответствия АС, следует использовать процедуру, при которой проверка считается выполненной успешно только при условии получения положительного результата для всех объектов выборки, т. е. при У = 0. Вероятность вынесения вердикта о соответствии АС требованию по ЗИ при исследовании выборки размером й из тестовой совокупности размером N, содержащей В несоответствующих объектов, определяется выражением
р {у = 0}=
Cd
CN
где q = Б К — уровень несоответствия АС требованию по ЗИ.
Таким образом, задавая значения вероятности Р {У = 0} (с использованием понятий ошибок первого и второго рода) и предельного уровня несоответствия qmax, из последнего выражения можно получить необходимый объем выборки d.
Методика проведения оценки соответствия АС с применением методов выборочного контроля включает в себя следующие этапы.
1. Идентификация требований по защите информации
Исходные данные: комплект программной, эксплуатационной и организационно-распорядительной документации, разрабатываемый на АС Е , для которой выполняется процедура оценки соответствия, нормативно-правовые акты и методические документы по ЗИ.
Выполняемые действия. С использованием экспертно-докумен-тального метода проводится анализ представленной документации на АС Е , а также нормативно-правовых актов и методических документов по ЗИ. Цель анализа — сформулировать в явном виде требования по ЗИ, реализация которых должна быть проверена в ходе проведения оценки соответствия.
Выходные данные: идентифицированный список требований Я = = {г1, г2,..., гп} по ЗИ, предъявляемых к АС Е.
2. Декомпозиция автоматизированной системы
Исходные данные: комплект программной, эксплуатационной и организационно-распорядительной документации, разрабатываемый на АС Е , для которой выполняется процедура оценки соответствия.
Выполняемые действия. С использованием экспертно-докумен-тального метода проводятся анализ архитектуры АС и последующая декомпозиция АС Е на подсистемы, обеспечивающие безопасность информации:
Е = РБХ и РБ2 и... и РБа.
Выполняется последующая декомпозиция (если возможно) подсистем на компоненты, обеспечивающие безопасность информации (программные, программно-аппаратные, аппаратные):
РБ1 = СТ[ и СТ2, и... и СГР.
Выходные данные. На стадии декомпозиции выходными данными являются идентифицированные перечни подсистем обеспечения информационной безопасности {Р5\, РБ2,..., РБа} и перечень компонентов для каждой подсистемы РБ1: {СТ(, СТ2г,..., СТ1}.
3. Трассировка требований по защите информации
Исходные данные: требования Я = {?}, г2,..., гп} по ЗИ, предъявляемые к АС Е , идентифицированные перечни подсистем обеспечения ИБ {РБ1, РБ 2,..., РБа} и перечень компонент для каждой подсистемы РБ1: {СТ/, СТ2г,..., СТ'р }.
Выполняемые действия. С использованием экспертно-докумен-тального метода проводится отслеживание требований по ЗИ Я = {г1, г2,..., гп} к компонентам и подсистемам, которые должны ре-
ализовывать данные требования.
Выходные данные. Выходные данные представляются в виде матрицы трассировки требований 3 = ]):
[1, если г реализуется подистемой PSj,
¿1 j = 1 # [0 в противном случае.
4. Идентификация факторов оценки соответствия
Исходные данные: требования Я по ЗИ, предъявляемые к АС Е, и матрица трассировки требований 3 .
Выполняемые действия. С использованием экспертно-докумен-тального метода выполняется идентификация множества $ =
= {^, /2,..., Г5} факторов оценки, влияющих на процедуру оценки
соответствия. Факторы оценки соответствия могут быть отнесены к одной из следующих групп: документация, механизмы, деятельность и физические лица.
Выходные данные: идентифицированное множество факторов оценки — множество $ = {Е1,/2,...} .
5. Разработка тестовых процедур
Исходные данные: комплект программной, эксплуатационной и организационно-распорядительной документации, разработанный на АС Е, требования по Я ЗИ, предъявляемые к АС, матрица трассировки требований, множество факторов оценки
Выполняемые действия. Проводится идентификация значений фактора /: У/ = {у^у^..., V^— множество значений фактора типа I. Например, для фактора оценки соответствия «учетные записи пользователя» множество Ур, будет состоять из конкретных
идентификаторов учетных записей пользователей оцениваемой АС. Напомним, что р — число возможных значений фактора /.
Разрабатываются тестовые процедуры Т = tг,..., ^}, используемые при проведении оценки соответствия АС Е требованиям по ЗИ Я = {г[, г2, ..., гп}. Каждая тестовая процедура ti характеризуется следующими элементами: цель выполнения, факторы оценки соответствия, объекты проверки — множества Р(Р2^..., ), где
Р^ е $ — последовательность выполняемых действий, критерий
принятия положительного решения.
Выходные данные: множество тестовых процедур Т =
= К, t2, .••, tn
6. Определение приоритетов тестовых процедур
Исходные данные: комплект программной, эксплуатационной и организационно-распорядительной документации, разработанный на АС Е , требования по Я ЗИ, предъявляемые к АС.
Выполняемые действия. В ходе данного этапа определяются приоритеты выполнения тестовых процедур с использованием вычисления приоритетов для идентифицированного множества Я = {г1, г2, ..., гп} требований по ЗИ. Напомним, что реализация требования г е Я проверяется с использованием тестовой процедуры ti е Т.
Невыполнение того или иного требования по ЗИ влечет за собой потенциальное нарушение ИБ — нарушение базовых свойств защищаемой информации (целостность, конфиденциальность, доступность). Определение приоритетов требований г1 е Я по ЗИ выполняется с использованием метода экспертных оценок на основе критериев Кщ), Кад, К30.) потенциального ущерба от нарушения целостности,
конфиденциальности и доступности защищаемой информации соответственно. Вводится следующая качественная шкала оценки потенциального ущерба от невыполнения требований по ЗИ: низкий («Н»), средний («С») и высокий («В»). Оценка критериев К1(;К2(;Кад для
требований по ЗИ осуществляется экспертами в качественной форме: критериям присваиваются значения «Н», «С» или «В». Степень тяжести последствий от невыполнения требования безопасности следует оценивать с учетом следующих показателей: способность организаций, эксплуатирующей АС, выполнять возложенную на нее миссию после нарушений ИБ; степень эффективность и основных функций организации после нарушений ИБ; ущерб, нанесенный активам организации; финансовые потери организации; вред, нанесенный персоналу.
В результате для каждого требования т1 е Я по ЗИ формируется следующее множество:
M(rt ) = {((), V1(i})' ((), V2(i))' ((), V3(i))
где ^^ у^^ уъ(1 )е{"НГ'СVВ"}.
Итоговый приоритет требования г
V (r ) = max v2(0, V3(i)).
Поскольку реализация требования т1 е Я проверяется с использованием тестовой процедуры ti е Т, приоритет V ) тестовой процедуры ^ е Т
V (t¡ ) = ^ (г-).
Выходные данные: множество приоритетов тестовых процедур
{V (tl), V (2),..., V (¡.),..., V (п)}.
7. Определение множества тестируемых объектов
Исходные данные: множество факторов оценки $, множество У, Ур2, ..., Урз } значений факторов оценки, множество приоритетов
тестовых процедур {V (1), V (2), ., V ), ., V (п)}.
Выполняемые действия. Напомним, что каждая тестовая процедура ti е Т характеризуется множеством факторов оценки
где Fj(ii) е При этом каждый фактор / (¡.) мо-
F1(i)' F2(i)' Fa
j (i
жет принимать
V,
Fj(i)
возможных значений. Таким образом, тестовая
процедура ti е Т выполняется для каждого кортежа вида
(), у2(.), % (.) )е % )• (¡). При этом мощность пространства факторов оценки О г =
V,
Л(0
V,
F2(i)
V,
(i)
Для каждой тестовой процедуры t¡ е Т с учетом ее приоритета V) и мощности пространства факторов оценки Оь с использованием выражения (для вероятности вынесения вердикта о соответствии АС требованиям по ЗИ) определяется количество тестируемых
кортежей (предварительно выполняется сопоставление числовых
значений предельных уровней несоответствия и качественных значений приоритета тестовой процедуры). После этого для всех тестовых
процедур формируется dt. тестовых кортежей ), v2{i),..., щ {i) ).
Отметим, что формирование кортежей выполняется случайным образом. По сути, выполняется формирование подмножеств множества
Vf с использованием генератора случайных (псевдослучайных)
Fj(i)
г -, RAND Л
чисел: для Vj е 1, щ выполняется VF ^ VF , где VF с VF . Выходные данные: множество тестовых кортежей вида
. -V- • -V-
1(i) F2(i) рщ (i)
V1(i), V2(i), ., Щ (i) ) е VF(.) • VF2(.) • . • VF (Л для всех тестовых проце
дур ti е T.
8. Выполнение оценки соответствия автоматизированной системы требованиям по защите информации
Исходные данные: множество тестовых процедур T = |t1, t2,..., tn},
множество тестовых кортежей вида (¡- ), у2(.), ..., ^) ) е Гр х
V ^ У 1( ¡')
х Ур • ... • Ур для всех тестовых процедур t¡ е Т.
р2(.) %()
Выполняемые действия. С использованием экспертно-докумен-тального метода, метод опроса и инструментального метода проводится оценка соответствия АС требованиям Я по ЗИ. Последовательность выполняемых действий соответствует указанной в тестовой процедуре, результаты выполнения тестовых процедур регистрируются с использованием программных средств проведения испытаний. После этого осуществляется сравнение эталонных и фактических результатов выполнения тестовой процедуры и принимается решение о соответствии или несоответствии АС предъявляемому требованию безопасности информации. Для анализируемой АС устанавливается соответствие требованию г1 по ЗИ (((Е, ti) = 1). Если получены положительные результаты тестирования для всех корте-
жей ((:), ),..., (.) |еГе •Уъ •...•У£. , множество кортежей
\ 1(.^ 2(.^ ачО)) ) р2(.) Р^ (¡.)' г
имеет вид {(tl, рС (Е, tl )) , ( рС (Е, t2 )) , ., ( , РС ( ^ ))} .
Выходные данные: результаты выполнения тестовых процедур — множество кортежей {(, Рс (Е, ^)), (t2,Рс (Е,t2)), ..., (tn, Рс (Е, tn ))}.
9. Обработка и анализ полученных результатов
Исходные данные: комплект программной, эксплуатационной и организационно-распорядительной документации, разрабатываемый на АС 2, результаты выполнения тестовых процедур
{(A, Fc (2, А)), (, Fc (2, t1 )),..., (, Fc (2, tn ))}.
Выполняемые действия. Проводятся анализ полученных результатов и оформление отчетной документации, как правило, протокола проведения оценки соответствия, содержащего детальное описание выполняемых операций, и технического заключения по результатам проведения оценки соответствия.
Выходные данные: протокол проведения оценки соответствия и технического заключения по результатам проведения оценки соответствия, содержащего вердикт о соответствии или несоответствии АС установленным требованиям.
Предложенный подход к проведению оценки соответствия АС могут использовать аудиторы при оценке временных и материальных затрат на выполнение комплексной проверки, а следовательно, для формирования ценовой политики. Отметим, что подобный подход уместно применять при аудите АС, обрабатывающих информацию, которая содержит сведения, составляющие коммерческую тайну, когда обладатель информации может адекватно оценить риски информационной безопасности [8]. При оценке защищенности АС, обрабатывающих информацию, которая содержит сведения, составляющие государственную тайну или персональные данные, необходимо проводить полноценный анализ защищенности, т. е. переходить к сплошному контролю.
СПИСОК ЛИТЕРАТУРЫ
1. Сводный отчет по безопасности программного обеспечения в России и мире за 2010 год / А.А. Фадин и др.; Под. ред. А.С. Маркова и В.Л. Цирлова. - М.: НПО «Эшелон». 2011.
2. Gourlay J. S. A Mathematical Framework for the Investigation of Testing // IEEE Transactions on Software Engineering. - 1983. - Vol. SE-9, No. 6. - P. 686-709.
3. Сборник руководящих документов по защите информации от несанкционированного доступа. - М.: Гостехкомиссия России, 1998.
4. NIS T SP 800-53A. Guide for Assessing the Security Controls in Federal Information Systems. Gaithersburg: National Institute of Standards and Technology, 2010.
5. ГОСТ Р ИСО/МЭК 15408-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3. - М.: Стандартинформ, 2009.
6. ГОСТ Р ИСО/МЭК 18045-2008. Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий. - М.: Стандартинформ, 2009.
7. Марков А. С., Миронов С. В., Цирлов В. Л. Выявление уязвимостей в программном коде // Открытые системы. СУБД. - 2005. - № 12. - С.64-69.
8. Марков А. С., Цирлов В. Л. Управление рисками — нормативный вакуум информационной безопасности // Открытые системы. СУБД. - 2007. - № 8. С. 63-67.
9. Барабанов А. В., Марков А. С., Фадин А. А. Сертификация программ без исходных текстов // Открытые системы. СУБД. - 2011. - № 4. - С.38-41.
10. Барабанов А. В., Марков А. С., Фадин А. А. Выявление недеклариро-ванных возможностей в декомпилированных текстах программного обеспечения // Изв. Ин-та инженерной физики. - 2010. - Т. 4, - № 18. - С. 24-26.
Статья поступила в редакцию 19.10.2011