Методика оценки уровня риска программного обеспечения Текст научной статьи по специальности «Компьютерные и информационные науки»

Методика оценки уровня риска программного обеспечения

Рассматривается проблема безопасности и защищенности современных средств измерений, говорится о необходимости применения риск-ориентированного подхода при испытаниях измерительных приборов с программным управлением. Анализируется методология оценки рисков и их минимизации в контексте нормативных документов

И.В. Лазарева1

ФГБУ «Всероссийский научно-исследовательский институт метрологической службы» (ФГБУ ВНИИМС), i.lazareva@vniims.ru

А.Н. Паньков2, 3 4

ФГБУ ВНИИМС, ФГАОУ ДПО «Академия стандартизации, метрологии и сертификации (учебная)», ФГБОУ ВО «МИРЭА — Российский технологический университет», канд. техн. наук, apankov@vniims.ru

1 лаборант отделения, Москва, Россия

2 начальник лаборатории, Москва, Россия

3 заместитель заведующего кафедрой, Москва, Россия

4 доцент кафедры, Москва, Россия

Для цитирования: Лазарева И.В., Паньков А.Н. Методика оценки уровня риска программного обеспечения // Компетентность / Competency (Russia). — 2023. — № 9-10. DOI: 10.24412/1993-8780-2023-9-47-53

ключевые слова

средства измерении, оценка риска, защита программного обеспечения, информационные технологии

статье [5] были проанализированы существующие методы оценки уровня риска программного обеспечения (ПО) средств измерений (СИ), получено подтверждение, что унифицированного способа оценки такого риска нет. Цель этой части нашего исследования — описать типовой подход к методике оценки уровня риска, основываясь на существующих методах и особенностях, характерных для такой системы.

Напомним, что особенности ПО СИ регламентированы ГОСТ Р 8.6542015 «ГСИ. Требования к программному обеспечению средств измерений. Основные положения». Согласно этому стандарту, выделяются следующие требования:

а) использование ПО в СИ не должно приводить к искажению измерительной информации. Другими словами, оно не должно оказывать влияние на метрологические характеристики приборов или это воздействие должно быть минимальным и оцениваемым;

б) ПО должно быть защищено от преднамеренных и случайных изменений программного кода, измерительной информации, конструктивных и других параметров, определяющих тип СИ и внесенных в ПО;

в) программное обеспечение, используемое в конкретных приборах данного типа, должно идентифицироваться и полностью соответствовать ПО, установленному в СИ при испытаниях с целью утверждения его типа.

Взяв за основу указанные положения, можно приступить к описанию методики оценки риска программного обеспечения СИ. Она будет состоять из трех основных частей: идентификация активов, идентификация векторов атак и расчет вероятности возникновения для отдельной атаки.

Идентификация активов

Напомним, что под активами подразумеваются свойства ПО, которые необходимо защищать. Согласно нормативным документам, активами могут быть, например, данные измерений, метрологически значимая часть ПО и его идентификатор, хранимые или передаваемые метрологически значимые параметры.

В дополнение к определению актива необходимо выделить одного или нескольких злоумышленников (разработчики, потребители, пользователи и т.д.). В простейшем случае будем считать, что все участники, которые так или иначе взаимодействуют с СИ, не заслуживают доверия и с одинаковой мотивацией готовы манипулировать измерительными инструментами и их результатами. В эту категорию входят производители и продавцы измерительных устройств, а также клиенты. Их различие определяется только способами и возможностями осуществления неблагоприятного воздействия на ПО.

Еще одно действие, которое должно быть выполнено на этапе идентификации активов, — сбор неблагоприятных воздействий, которые могут нанести ущерб активам. Такими воздействиями может быть, например, аннулирование доступа к журналу, изменение параметров СИ, измерительной информации, замена юридически значимой части ПО. Здесь снова используем общий подход, который говорит, что каждый злоумышленник может нанести ущерб любому из идентифицированных активов, аннулировав одно или несколько из их свойств безопасности, то есть доступности, целостности или подлинности, в зависимости от обстоятельств.

На последнем этапе осуществляемой атаки, состоящей из неблагопри-

ятного воздействия на ПО СИ, будет назначен индивидуальный балл воздействия от 1 до 5.

Поскольку обычно предполагается, что все юридические требования одинаково важны, назначается самый высокий балл (5). Меньшая оценка будет выбрана лишь в том случае, если воздействие применяется только к одному измерению или может быть легко обнаружено при наблюдении за измерительным прибором и контактирующими с ним людьми.

Идентификация неблагоприятных воздействий на ПО СИ

Второй этап начинается с тщательного изучения представленной производителем документации на измерительный прибор, подлежащий проверке. Затем оценщик собирает возможные неблагоприятные воздействия, то есть действия, которые должны быть выполнены, чтобы позволить злоумышленнику реализовать любую из ранее идентифицированных угроз. Совокупность неблагоприятных воздействий на ПО СИ образует собой некий вектор атак.

Векторы атаки могут быть как простыми для реализации, так и сложными. Основными из возможных векторов будут:

► подбор пароля на СИ или его элемент (БД, ОС);

► замена результатов измерений;

► замена МЗЧ ПО;

► внесение изменений в интерфейс связи и передачи информации;

► изменение параметров калибровки или настроек СИ.

Расчет оценки вероятности риска

После идентификации неблагоприятного действия с одним или несколькими векторами атаки остается рассчитать вероятность, с которой атака будет фактически реализована.

В соответствии со стандартом ГОСТ Р ИСО/МЭК 18045-2013 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности инфор-

мационных технологий» необходимо определить устойчивость ИТ-продукта к определенным воздействиям на основе пяти различных оценок:

а) время, затрачиваемое на идентификацию уязвимости и ее использование (общее затрачиваемое время);

б) требующаяся техническая компетентность специалиста (компетентность специалиста);

в) знание объекта и его функционирования (знание объекта);

г) возможность доступа к объекту;

д) аппаратные средства/программное обеспечение ИТ или другое оборудование, требуемое для использования уязвимости.

Во многих случаях эти факторы не являются независимыми и могут в различной степени заменять друг друга. Например, компетентность или аппаратные средства/программное обеспечение могут быть заменой времени. Эти факторы обсуждаются далее (уровни каждого фактора рассматриваются в порядке увеличения). В таком случае в фазе использования уязвимости рассматривается наименее «затратная» комбинация факторов.

Общее затрачиваемое время

Зто время, которое необходимо нарушителю для идентификации потенциальной уязвимости, которая может существовать в объекте оценки (ОО), разработки метода нападения и поддержания усилий по осуществлению нападения на объект. При рассмотрении данного фактора для определения требуемого нарушителю количества времени используется пессимистичный, наиболее неблагоприятный сценарий. Идентификационными уровнями отрезков времени являются:

► менее одного дня;

► от одного дня до недели;

► от одной до двух недель;

► от двух недель до месяца;

► месяц, два, три месяца — каждый дополнительный месяц до шести означает увеличение значения;

► свыше шести месяцев.

Более наглядно данные значения представлены в табл. 1.

Компетентность специалиста

Оценка компетентности включает в себя уровень общих знаний основополагающих принципов, типа продукта или методов нападения. Идентификационными уровнями здесь являются:

► непрофессионалы — слабо осведомлены по сравнению с экспертами или профессионалами, не обладают специфической компетентностью;

► профессионалы — хорошо осведомлены в том, что касается режима безопасности продукта или системы данного типа;

► эксперты — хорошо знакомы с основными алгоритмами, протоколами, аппаратными средствами, структурами, режимом безопасности, с применяемыми принципами и концепциями безопасности, а также методами и средствами определения новых атак, методами нападения и т.п., реализуемыми для данного типа продукта или системы;

► эксперт в нескольких областях знаний или группа экспертов — используется в случае, когда для осуществления отдельных этапов нападения необходимы знания в различных областях.

Иногда требуется применить в описании несколько различных типов компетентности. По умолчанию выбирается самый высокий уровень факторов компетентности. Сводные данные представлены в табл. 2.

Знание объекта оценки

Зти сведения определяют уровень знаний об объекте оценки. Они отличаются от параметров общей компетентности, хотя и связаны с ней. Идентификационными уровнями является информация об объекте оценки:

► общедоступная информация (например, полученная из интернета);

► информация ограниченного доступа (например, данные, имеющиеся у организации-разработчика и предоставляемые другим организациям на условиях соглашения о неразглашении информации);

► чувствительная информация (например, сведения, которыми обладают

Таблица 1

Идентификационные уровни отрезков времени [Identification levels of time segments]

Параметр [Parameter] Временной отрезок [Time segment]

Общее затрачиваемое время 1 день

1 неделя

2 недели

1 месяц

2 месяца

3 месяца

4 месяца

5 месяцев

6 месяцев

Более 6 месяцев

Таблица 2

Идентификационные уровни компетентности специалиста [Identification levels of specialist competence]

Параметр [Parameter] Компетентность [Competence]

Компетентность специалиста Непрофессионал

Профессионал

Эксперт

Эксперт в нескольких областях или группа экспертов

Таблица 3

Идентификационные уровни знания ОО [Identification levels of knowledge of the assessment object]

Параметр [Parameter] Уровень знания [Knowledge level]

Знание объекта оценки Общедоступная информация

Информация ограниченного доступа

Чувствительная информация

Критически важная информация

закрытые рабочие группы организации-разработчика и доступ к которым имеют только члены данных групп); ► критически важная информация (например, известная только нескольким лицам и доступ к которой строго контролируется на основе личной ответственности и необходимости выполнения рабочих обязанностей).

В некоторых ситуациях требуется применить в описании несколько различных типов знания. По умолчанию выбирается самый высокий уровень факторов знания об ОО. Градация по уровням знания представлена в виде табл. 3.

Возможность доступа к объекту оценки

Возможность доступа к объекту оценки также является важным обстоятельством и имеет отношение к фактору «общее затрачиваемое время». Идентификация или использование уязвимости связаны с продолжительным доступом к объекту оценки, что может увеличить вероятность обнаружения. Некоторые методы совершения неблагоприятного воздействия могут требовать значительных автономных усилий без подключения к объекту оценки и лишь краткого времени доступа к ОО для использования уязвимости. Может также понадобиться непрерывный доступ или даже несколько сеансов.

Для некоторых объектов оценки возможность доступа к ним может равняться числу образцов этих объектов, которые может получить нарушитель.

В целях данного обсуждения: ► «отсутствие необходимости в доступе/неограниченный доступ» означает, что для нападения не важна возможность доступа к объекту оценки, т.к. нет опасности обнаружения при осуществлении доступа к ОО и нет препятствий для доступа к образцам ОО для нападения;

Таблица 4

Идентификационные уровни доступа к ОО [Identification levels of access to the assessment object]

Параметр [Parameter] Уровень доступа [Access level]

Возможность доступа Отсутствие необходимости в доступе/неограниченный доступ

к ОО Простои доступ

Умеренная возможность доступа

Затруднительный доступ

Невозможность доступа

Таблица 5

Идентификационные уровни оборудования [Identification levels of equipment]

Параметр [Parameter] Уровень оборудования [Equipment level]

Оборудование Стандартное

Специализированное

Сделанное на заказ

Несколько видов сделанного на заказ оборудования

► «простой доступ» означает, что он требуется менее чем на день, а количество образцов ОО, к которым нужен доступ для осуществления нападения, меньше десяти;

► «умеренная возможность доступа» подразумевает необходимость в нем менее чем на месяц, а количество образцов объекта оценки, к которым требуется доступ для осуществления нападения, меньше сотни;

► «затруднительный доступ» предполагает прежде всего его продолжительность хотя бы на месяц, а количество образцов ОО для осуществления нападения больше или равно ста;

► «невозможность доступа» означает, что времени возможности доступа недостаточно для осуществления нападения. Например, криптографический ключ некоторого актива меняется раз в неделю, а для его успешного подбора требуются две недели.

Табл. 4 наглядно показывает описанные уровни доступа к объекту оценки.

Аппаратные средства/ программное обеспечение ИТ

Указанное или другое оборудование представляет собой комплекс устройств, требуемых для идентификации или использования уязвимости. Здесь выделяются следующие категории:

► стандартное оборудование — для идентификации уязвимости либо неблагоприятного воздействия, которое легкодоступно для нарушителя. Это оборудование может быть частью самого объекта оценки (например, отладчик в операционной системе) или его несложно получить (например, программное обеспечение, загружаемое из интернета, анализаторы протоколов или простые сценарии нападения);

► специализированное оборудование, которое не слишком легко получить нарушителю, но оно может быть приобретено без значительных усилий. Это или покупка небольшого количества приборов, или разработка более сложных сценариев и программ нападения;

► заказное оборудование, недоступное

Таблица 6

Вычисление потенциала атаки [Calculating attack potential]

Фактор [Factor] Значение [Value]

Общее затрачиваемое время 1 день 0

1 неделя 1

2 недели 2

1 месяц 4

2 месяца 7

3 месяца 10

4 месяца 13

5 месяцев 15

6 месяцев 17

Более 6 месяцев 19

Компетентность Непрофессионал 0

Профессионал 3

Эксперт 6

Группа экспертов 8

Знание ОО Общедоступная информация 0

Информация ограниченного доступа 3

Чувствительная информация 7

Критически важная информация 11

Возможность доступа к ОО Отсутствие необходимости в доступе/неограниченный доступ 0

Простой доступ 1

Умеренная возможность доступа 4

Затруднительный доступ 10

Невозможность доступа *

Оборудование Стандартное 0

Специализированное 4

Сделанное на заказ 7

Несколько видов сделанного на заказ оборудования 9

* указывает, что атаку невозможно осуществить из-за предпринятых других мер в предполагаемой среде функционирования ОО

широкому кругу пользователей, поскольку для него либо может потребоваться специальная разработка (например, очень сложного программного обеспечения), либо оно настолько специализировано, что его распространение контролируется. Возможно, это оборудование предназначено для ограниченного распространения или же является очень дорогостоящим; ► несколько видов различного заказного оборудования применяется в тех случаях, когда для осуществления отдельных этапов нападения необходимо именно такое, сделанное на заказ, оборудование.

Описанные уровни оборудования представлены в табл. 5.

Назначение баллов факторам атаки

После рассмотрения всех категорий для оценки риска ПО нужно назначить баллы в соответствии со сложностью реализации атаки по каждому из критериев. Чем больше балл, тем сложнее совершить атаку, соответственно тем выше сопротивляемость ПО атакам. Полученные результаты отражены в табл. 6.

Вычисление вероятности и оценка риска

Когда присвоение баллов выполнено в соответствии с пятью упомянутыми категориями, вычисляется общая сумма всех баллов.

справка

Нормативными документами,

которые в настоящее время определяют свойства ПО, требующие защиты, являются Федеральный закон № 102 «Об обеспечении единства измерений», приказ Минпромторга РФ от 28.08.2020 № 2905, рекомендации по метрологии Р 50.2.077-2014

Таблица 7

Рейтинг уязвимости и уровень стойкости ОО

[Rating of vulnerability and level of resistance of the assessment object]

Диапазон значений [Range of values] Потенциал нападения [Attack potential] Объект оценки противостоит нарушителю с потенциалом нападения [The assessment object confronts an intruder with attack potential]

0-9 Базовый Не противостоит

10-14 Усиленный базовый Базовый

15-19 Умеренный Усиленный базовый

20-24 Высокий Умеренный

=>25 За пределами высокого Высокий

Таблица 8

Рейтинг вероятности возникновения неблагоприятного воздействия [Rating of likelihood of occurring an adverse impact]

Сумма очков [Sum of points] Оценка сопротивления [Resistance assessment] Оценка вероятности [Likelihood assessment]

0-9 Без рейтинга 5

10-14 Базовый 4

15-19 Расширенный базовый 3

20-24 Умеренный 2

>24 Высокий 1

Таблица 9

Уровни риска ПО [Levels of software risk

Уровень защиты ПО [Software protection level] Уровень риска ПО [Software risk level]

Низкий 5

4

Средний 3

2

Высокий 1

Статья поступила в редакцию 15.06.2023

между 1 и 5, где 5 представляет высокую вероятность возникновения неблагоприятного воздействия, а 1 указывает, что оно очень маловероятно. Эти значения приведены в табл. 8.

Вычисление риска, связанного с угрозой, состоит из умножения показателя воздействия (от 1 до 5) для данной угрозы на показатель вероятности наиболее возможного вектора атаки, который мог бы реализовать угрозу. Это выражение представлено формулой 1:

Оценка риска =

Оц.возд. х Оц.вер. 5 '

(1)

Оценка от 10 до 14 баллов, например, продемонстрирует базовое сопротивление атакам, а оценка выше 24 указывает на высокую устойчивость. Более подробно распределение оценок представлено в табл. 7.

Далее рейтинг воздействия сопо-

где Оц.возд. — оценка воздействия;

Оц.вер. — оценка вероятности.

Так мы получаем числовое значение уровня риска, находящееся в диапазоне от 1 до 5.

Далее мы можем перейти от количественной оценки к качественной. Согласно рекомендациям по метрологии Р 50.2.077-2014, выделяется три уровня защиты программного обеспечения: низкий, средний, высокий. Соотнесем данные уровни с выявленными нами ранее. Полученные значения представлены в табл. 9.

Таким образом, предлагаемый метод позволяет перейти от качественной оценки уровня защиты программного обеспечения средств измерений к его количественной оценке с учетом уровня риска используемого ПО. Такой способ является более удобным и точным, так как при качественной оценке так или иначе присутствует человеческий фактор, субъективное мнение, влияющее на нее. В то время как балльная оценка является абсолютно объективным и наглядным показателем при интерпретации мнения экспертов. ■

ставляется с оценкой вероятности

Список литературы

1. ФЗ от 26.06.2008 № 102-ФЗ «Об обеспечении единства измерений».

2. Р 50.2.077-2014. ГСИ. Испытания средств измерений в целях утверждения типа. Проверка защиты программного обеспечения. — М., 2014.

3. ГОСТ Р 8.654-2015. ГСИ. Требования к программному обеспечению средств измерений. — М., 2015.

4. Приказ Минпромторга РФ от 28.08.2020 № 2905 «Об утверждении порядка проведения испытаний стандартных образцов или средств измерений в целях утверждения типа, порядка утверждения типа стандартных образцов или типа средств измерений, внесения изменений в сведения о них, порядка выдачи сертификатов об утверждении типа стандартных образцов или типа средств измерений, формы сертификатов об утверждении типа стандартных образцов или типа».

5. Лазарева И.В., Паньков А.Н. Обзор методов оценки уровня риска программного обеспечения // Компетентность / Competency (Russia). — 2023. — № 7.

Kompetentnost / Competency (Russia) 9-10/2023 THDIfAl Т1—1СГЛС CO

ISSN 1993-8780. DOI: 10.24412/1993-8780-2023-9-47-53 lUrICrtL 1ПС1 VIC 53

Methodology of Software Risk Assessment

I.V. Lazareva1, FSBI All-Russian Research Institute of Metrological Service (FSBI VNIIMS), i.lazareva@vniims.ru А.N. Pan'kov2, 3 4, FSBI VNIIMS, FSAEI FVT Academy for Standardization, Metrology and Certification (Training), FSBEI HE MIREA — Russian Technological University, PhD (Tech.), apankov@vniims.ru

1 Laboratory Assistant of Department, Moscow, Russia

2 Head of Laboratory, Moscow, Russia

3 Deputy Head of Department, Moscow, Russia

4 Associate Professor of Department, Moscow, Russia

Citation: Lazareva I.V., Pan'kov A.N. Methodology of Software Risk Assessment, Kompetentnost'/ Competency (Russia), 2023, no. 9-10, pp. 47-53. DOI: 10.24412/1993-8780-2023-9-47-53

key words

measuring instruments, risk assessment, software protection, information technology

References

Today, one of the main tasks of metrological service workers is to assess and minimize risks when using software in measuring instruments. A risk-based approach can help to solve it. The authors reviewed various risk assessment methods and came to the conclusion that some of the considered software risk assessment methods are narrowly focused and applicable only in their areas, or require additional information, for example, in the form of source code as for the van Dersen method. So, the most promising is the approach described in the international standard GOST R ISO/IEC 27000. According to the general criteria, a list of assets to be protected and their corresponding protection profiles are compiled. Risk level assessment is carried out in accordance with GOST R ISO/IEC 27005-2010, that is, by analyzing all aspects of software risk assessment in different directions. By combining the approaches of these standards, you can get a single most effective method.

1. RF Federal Law of 26.06.2008 N 102-FZ On ensuring uniformity of measurements.

2. R 50.2.077-2014 SSM. Tests of measuring instruments for the purpose of type approval. Software security check, Moscow, 2014, 24 P.

3. GOST R 8.654-2015 SSM. Software requirements for measuring instruments, Moscow, 2015, 12 P.

4. RF Ministry of Industry and Trade Order of 28.08.2020 N 2905 On approval of the procedure for testing standard samples or measuring instruments for the purpose of type approval, the procedure for approving the type of standard samples or type of measuring instruments, making changes to information about them, the procedure for issuing certificates of approval of the type of standard samples or type of measuring instruments, the form of certificates of approval of the type of standard samples or type.

5. Lazareva I.V., Pan'kov A.N. Overview of software risk assessment methods, Kompetentnost'/Competency (Russia), 2023, no. 7, pp. 13-17.

НОВАЯ КНИГА

Барышев Ю.А., Палагин Ю.А.

Поверка и калибровка омметров

Учебное пособие. — М.: АСМС, 2023

Пособие предназначено для слушателей АСМС, повышающих квалификацию в области поверки и калибровки средств электрических измерений, инженерно-технических работников, экспертов и специалистов метрологических служб предприятий и поверителей средств измерений.

Издание может быть полезно сотрудникам научно-исследовательских институтов, работающим в области метрологии, а также аспирантам и преподавателям вузов.

По вопросам приобретения обращайтесь по адресу: Академия стандартизации, метрологии и сертификации (АСМС), 109443, Москва, Волгоградский пр-т, 90, корп. 1. Тел. / факс: 8 (499) 742 4643. Факс: 8 (499) 742 5241. E-mail: info@asms.ru