МЕТОДЫ КОЛИЧЕСТВЕННОГО ОЦЕНИВАНИЯ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
Д.А. Котенко
Научный руководитель - д.т.н., профессор А.А. Молдовян
В статье проанализированы существующие методы количественного оценивания безопасности автоматизированных систем. Приведены примеры реализации и выявлены недостатки методов. Сделан вывод о предпочтительности использования методов логико-вероятностного моделирования для оценки защищенности автоматизированных систем.
Введение
Согласно действующим стандартам (ГОСТ Р ИСО/МЭК 17799, ГОСТ Р ИСО/МЭК 13335-1), обеспечение информационной безопасности (ИБ) автоматизированных систем (АС) организуется в виде совокупности управляемых процессов, реализуемых на базе циклической модели корпоративного менеджмента с использованием установленных подходов к анализу риска (ГОСТ Р ИСО/МЭК ТО 13335-3, ТО 13335-5), выбора механизмов обработки риска (ГОСТ Р ИСО/МЭК ТО 13335-4), а также процедур менеджмента инцидентов (180/1ЕС ТЯ 18044) и менеджмента качества (ГОСТ Р ИСО 9001). Устойчивость и равновесие системы обеспечения ИБ АС достигается путем регулярного оценивания соответствия ИБ требованиям, формируемым в рамках подхода к профилированию защиты (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р ИСО/МЭК 18045).
Во многих случаях качественных оценок (бинарного типа: соответствует/не соответствует требованиям; балльного типа: низкое, среднее, высокое соответствие требованиям и т.п.) недостаточно, чтобы ответить на вопрос, насколько обеспечена безопасность АС, и, таким образом, наметить ясные пути совершенствования системы обеспечения ИБ. В этой связи детерминистский подход к оцениванию ИБ, связанный с общей проверкой требований, содержащихся в системе нормативных документов, регламентирующих ИБ, представляется хотя и важным, но не единственно возможным подходом к оцениванию безопасности.
Для получения вполне обоснованных оценок соответствия ИБ требованиям ГОСТ более приемлемыми оказываются количественные методы. Поскольку эти методы используют положения теории вероятности, они получили название вероятностных методов. Следует отметить, что вероятностные и детерминистские методы не могут рассматриваться без взаимосвязи друг с другом. При необходимости детального анализа рисков АС эти методы являются взаимодополняющими. В ходе комбинированного анализа рисков любой из методов может оказаться приоритетным, в зависимости от требований к уровню безопасности выделенного компонента АС. В ряде случаев используется рекурсия, когда детерминистские показатели ссылаются на вероятностные и наоборот, что приводит к наиболее верному и обоснованному результату. Часто вероятностные методы можно вообще рассматривать как методы, оперирующие набором детерминистских показателей, характеризующихся определенной вероятностью проявления.
Вероятностные методы оценивания защищенности АС
К вероятностным методам относятся методы многокритериальной оптимизации, логико-вероятностные методы, имитационное моделирование и др.
Основой методов многокритериальной оптимизации является агрегирование информации о частных показателях качества. Среди них выделяют методы лексикографи-
ческого упорядочивания, итерационные методы предпочтительного выбора, аксиоматический подход с использованием теории полезности и пр.
Рассмотрим, например, один из итерационных методов - метод «смещенного идеала». Пусть задано п объектов, оцененных по т критериям: к1...кт. Процедура оптимизации такова.
1. Моделируются два многокритериальных объекта (МКО): МКО+ = (к1+,...,кт}, МКО- = {к1-,..., кт } - «условно предпочтительный», формируемый из максимальных по полезности значений критериев, и наихудший - из минимальных по полезности значений критериев.
2. Задается вектор предпочтений, например, wI = (4,3,3,2) . Он отражает предпочтения лица, принимающего решение в отношении оптимизируемых показателей эффективности.
3. Чтобы выявить объекты, которые не претендуют на предпочтительные, их сравнивают с идеальным, вычисляя «расстояние» (метрику) до идеального. Так, объекты ранжируются по расстоянию от идеального объекта, например: В1 > В4 > В2 > В3.
Наименее предпочтительный объект исключается из рассмотрения, после чего процедура повторяется. Таким образом, исключая неподходящие объекты, в конце получаем один, наиболее предпочтительный.
Логико-вероятностные методы позволяют получить количественную оценку риска как меры опасности. Они давно применяются в отечественной практике для анализа надежности и безопасности систем. В основе лежат два понятия - степень риска Криск (у) и уровень защищенности Кзащ (у) = 1 - Криск (у) Степень риска - вероятность
невыполнения системы обеспечения информационной безопасности (СОИБ) своей целевой функции. Обратная величина характеризует уровень защищенности. Оценка защищенности представляет собой процедуру оценки показателей Криск и К для активов информационной системы (ИС). Процедура анализа следующая.
1. Составляется сценарий развития опасности (граф вида «дерево»), представляющий собой логико-вероятностную модель функционирования ИС. Сценарий содержит события трех видов: инициирующие, промежуточные и конечные. Инициирующие события описывают входные воздействия на систему (несанкционированный доступ (НСД) к ресурсам информационной системы, имитация процедуры идентификации/аутентификации и пр.). Промежуточные события - логическая комбинация (конъюнкция или дизъюнкция) исходных. Конечное событие описывает опасное состояние системы (успешная реализация атаки нарушителя пр.).
2. Аналитически граф описывается с помощью функции опасности системы, где я1...гп инициирующие события, а значение у(г1...гп) - конечное (опасное) событие. По этой функции можно выделить так называемые кратчайшие пути опасного функционирования. Каждый из них представляет собой минимальный набор инициирующих событий, конъюнкция (совмещение) которых приводит к опасному состоянию.
3. С помощью логико-вероятностных преобразований функция опасности системы приводится к одной из канонических форм и заменяется вероятностной функцией Р{у(21...2п)}. При этом необходимо иметь вероятности инициирующих событий (например, вероятность НСД, вероятность взлома системы идентификации и аутентификации и пр.). Значение вероятностной функции Р , при которой значение функции опасности у равно 1 (это означает наступление опасного события), и определяет степень риска, присутствующего в системе:
К риск (у) = Р{у( *1...Гп) = 1}
Трудность здесь заключается в обеспечении достоверности исходных данных (характеристик ИС, моделей угроз, моделей уязвимостей и т.д.). Объективными являются характеристики ИС по результатам натурных испытаний. Качественно иную (субъективную) природу имеют результаты анализа уязвимости, отражающие интуитивные представления о возможности и характере реализации угрозы.
Еще один метод - имитационное моделирование. Это вычислительный эксперимент, основанный на том известном факте, что при увеличении числа испытаний п относительная частота появления случайного события А в серии испытаний стремится к его вероятности в единичном испытании, н ^ Р(А) при п ^ да . С помощью генератора случайных чисел получают выборки случайных величин, распределенных по известному закону с известными математическим ожиданием и дисперсией. Приведем пример. В информационной системе используется система обнаружения вторжений с вероятностью обнаружения Робн = 0,95 . Для имитационного моделирования работы такой системы «разыгрывается» равномерно распределенное случайное число К от 0 до 1. Если К < 0,95, система сработала, в противном случае - нет. Таким же образом моделируется действия нарушителя и другие случайные процессы в ИС, приводящие к нарушениям информационной безопасности.
Каждая конфликтная ситуация в ИС просчитывается много раз, по результатам набирается статистика нарушений ИБ. Эффективность СОИБ оценивается статистически как отношение числа нарушений к общему числу испытаний Ж=т/п. Количество опытов определяется исходя из того, что при заданной доверительной вероятности необходимо обеспечить требуемую точность оценки.
Заключение
Достоинством детерминистического подхода является то, что в руки проектировщика даются четкие и ясные критерии того, как должна быть построена система обеспечения информационной безопасности. Основная проблема - способ получения интегрального показателя. Наиболее распространена операция осреднения частных показателей. Но, необходимо помнить, что операция осреднения имеет смысл, если частные показатели однотипны, то есть имеют одинаковую физическую природу. Если это не так, такой интегральный показатель не имеет физического смысла.
Достоинством имитационного моделирования является физически обоснованный критерий эффективности (вероятность). Недостаток - трудность его интерпретации и нормирования. Пусть в результате анализа получено значение Р . Не ясно, много это
или мало, достаточен уровень защиты объекта или нет?
В результате использования логико-вероятностных методов для анализа эффективности СОИБ тоже получается число Криск (у). Но смысл здесь не в цифре, а в том,
что логико-вероятностное моделирование позволяет построить модель безопасного функционирования ИС, определить «уязвимые места» системы и оценить «вклад» каждого из них, ранжируя их по степени опасности. В качестве недостатков здесь можно отметить трудоемкость логических преобразований при анализе сложных сценариев (переход от функции опасного состояния к вероятностной функции), а также разнородность исходных данных (объективных, которые можно достоверно оценить, и субъективных, отражающих «ожидания угрозы»).
Литература
1. Цуканова О.А., Смирнов С.Б. Экономика защиты информации / Учебное пособие. -СПб: СПбГУ ИТМО, 2007. - 59 с.
2. Шахраманьян М.А., Акимов В.А., Козлов К.А. Оценка природной и техногенной безопасности России: теория и практика. - М., 1998. - 218 с.
3. Владимиров В.А., Воробьев Ю.Л., Малинецкий Г.Г. и др. Управление риском. Риск, устойчивое развитие, синергетика. - М., 2000. - 431 с.
4. Малашихина Н.Н., Блокрылова О.С. Риск-менеджмент / Учебное пособие. - СПб.: ООО «ЛЕКС СТАР», 2001. - 128 с.
5. Петренко С.А., Симонов С.В. Экономически оправданная безопасность. - М.: ДМК, 2003. - 381 с.