Моделирование объектов информационной безопасности для задачи оценки рисков Текст научной статьи по специальности «Компьютерные и информационные науки»

Математическое моделирование: методы, алгоритмы, технологии

УДК 681.3

Т.М. Гильмуллин, И.В. Аникин

МОДЕЛИРОВАНИЕ ОБЪЕКТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ДЛЯ ЗАДАЧИ ОЦЕНКИ РИСКОВ

Обеспечение информационной безопасности (ИБ) информационных систем (ИС) часто осуществляется с позиции управления рисками ИБ [1].

Известен ряд специализированных методик оценки рисков ИБ, однако основной недостаток большинства их них — отсутствие формальных подходов, заложенных в их основу, что не позволяет исследовать их релевантность, оценить качество работы [5]. Это делает актуальным решение задачи разработки формальных моделей оценки рисков ИБ.

Постановка данной задачи заключается в разработке концептуальной модели предметной области (ПО) "Риск информационной безопасности", формальных моделей оценки рисков ИБ, а также моделирования тех объектов ИБ, которые участвуют в решении задачи оценки рисков. При решении задачи необходимо учесть некоторые особенности [ 1 ]:

задача оценки рисков ИБ трудно формализуема, а формирование оценок риска на практике основывается на экспертных оценках [3,4|;

знания эксперта о свойствах ИС и ее компонентах часто неполные и неточные (например, уровень критичности актива, уровень возможности реализации угроз). Формируемые модели должны быть "терпимы" к таким неопределенностям. В связи с этим актуальность приобретает использование при моделировании объектов ИС элементов теории нечетких множеств [2].

В настоящей статье предлагаются формальные модели для задачи оценки рисков И Б, учитывающие данные особенности. В качестве подхода к формированию моделей использована теория алгебраических систем [6]. Кроме этого использованы элементы математического аппарата те-

ории категорий и функторов, а также теории нечетких множеств и нечеткой логики [2, 3,6].

Концептуальная модель предметной области

Каждый из объектов ПО имеет определенный тип t е Туре, где Туре — множество всех типов. Отнесение объекта к некоторому типу может осуществляться экспертами при первом упоминании объекта, устанавливаться процедурно по его свойствам либо вследствие изменения состояния объекта.

Определив на Туре множество отношений и операций над элементами, можно получить модель в виде формальной алгебраической системы, называемой концептуальной моделью предметной области. Впервые подход к синтезу концептуальной модели произвольной ПОбыл предложен П. Ченом при помощи построения так называемых ER-диаграмм типов (Entity Relationship Diagram) [6).

Введенная концептуальная модель ПО представлена на рисунке.

Введены следующие типы объектов t е Туре:

Базовый, tjj = UNIOBJECT - универсальный тип для любого объекта, который позволяет отличать в концептуальной модели ПО факт его существования.

Дополнительные тины. t|n(iL.f= IN DEFO BJ ЕСТ— отнесение некоторого объекта ПО к типу t|ndef говорит о том, что в ПО И Б "известно" о существовании объекта, но неизвестны его свойства.

W = DEFOBJECT - отнесение некоторого обьекта ПО к типу t^свидетельствует о том, что в ПО "известно" о существовании объекта, его свойствах и их значениях.

tSil = SITUATION - объекты ПО, которые выражают некоторые отношения между остальными

4

Научно-технические ведомости СПбГПУ 5' 2009

Концептуальная модель ПО "Риск информационной безопасности"

объектами в ПО, или операции над объектами. Именно с помощью объектов типа tSil выражаются состояния ПО.

tName = NAMЕ —лингвистический тип tNamc позволяет описывать ПО И Б на некотором естественном либо формальном языке.

1т.шс= TIME, tSpacc = SPACE - эти типы позволяют моделировать пространственно-временные отношения между объектами ПО.

Специальные типы. tSca!e = SCALE — измерительные шкалы, на которых осуществляется оценка базовых свойств объектов.

t,s = INFORMATION SYSTEM - информационные системы.

tCoSyN = COSYSTEM — тип объектов ПО, дополнительный для tIS: tCoSys = tuVis. Множество объектов COIS ç (ty), COIS = (tu)\{ÏS} называется косистемой для IS.

lRisk= RISK — объекты ПО, являющиеся элементами пространства рисков RS = [0, оо). tRes= RESOURCE-ресурсы ИС. tx = THREAT-угрозы И Б для ИС.

tv = VULNERABILITY - уязвимости в ИС.

tCM = COUNTERMEASURE - контрмеры для ИС.

К базовым отношениям на множества типов Туре относят: =, isa, ako. Они — носители специальных отношений в ПО.

Отношение равенства (=) на множестве типов Туре — это бинарное отношение, определенное через равенство множеств объектов данных типов: •

Vt„t2eTypetl = t2»(tl) = (t2).

Отношение isa (isa — "относится к") на множестве типов Туре — это отношение, интерпретируемое следующим образом: "Для любых типов t|, t2 е Туре, t, isa t2, если в любой момент времени каждый объект типа t, является объектом типа t2":

Vt„ t2 е Туре t, isa t2 c=> (t,) с (t2).

Отношение ako (a kind of - "является разновидностью") на множестве типов Туре — это от-

4-

Математическое моделирование: методы, алгоритмы, технологии^

ношение, интерпретируемое следующим образом: "Для любых типов t,,t2 е Type,t, ako t2, если в определенный момент времени некоторые объекты типа t2 могут состоять из некоторых объектов типа t|":

Vth t2 e Type t, ako t2«3o e (t2)3o,, ...,ok e (t,> o = {o,,...,ok}.

Обозначим множество всех объектов ПО определенного типа t в конкретный момент времени через (t).

Каждый из представленных типов объектов имеет свойства, которые без ограничения общности будем считать нечеткими. Формальная модель каждого объекта obj в ИС представляется в виде

obj = {Name(obj), fp(obj, bmf(obj, fp(obj))}, (1)

где Name — наименование объекта; fp(obj) — вектор нечетких базовых характеристик объекта; bmf(obj, fp(obj)) — функция принадлежности, используемая для оценки свойств объекта.

Моделирование базовых объектов информационной безопасности

Ъш INFORMATION SYSTEM. Модель объекта данного типа предлагается представить в виде

IS(E) = {R,T, V, С, Risk, EfiF, AllScales, Rel}, (2)

где R e (tRes) - множество ресурсов ИС; T с (tT) — множество угроз для ИС; V с (tv) — множество уязвимостей ИС; С с (tCM) — множество контрмер для ИС; Risk —функция оценки риска; Eff— функция оценки эффективности мер безопасности; AllScales — множество шкал для оценки свойств элементов ИС; Rel - отношения между элементами ИС.

Для работы с информационными системами определены операции равенства, объединения, пересечения и дополнения ИС и некоторые другие.

Тйн RESOURCE. Ресурсом tRes е Туре называется тип объектов ИС, удовлетворяющий условию tRes ako t,s л tRcs ako tCoSys л tScalc ako tRes. Каждый ресурс обладает некоторыми свойствами, определяемыми вектором нечетких базовых характеристик fp, которые измеряются на шкалах из множества AllScales.

Для опенки базовых характеристик элементов ИС введены следующие нечеткие измерительные шкалы типа tScale:

1. Уровень конфиденциальности (Confidential Level — Lc).

2. Уровень целостности (Integrity Level — L|).

3. Уровеньдоступности (Availability Level — LA).

4. Уровень критичности ресурса (Critical Level - CL).

5. Уровень воздействия элемента (Affect Level—AL).

6. Уровень простоты использования уязвимости (Easy Level — EL).

7. Уровень риска (Risk Level - RL).

8. Уровень ущерба для системы (Damage Level - DL).

9. Уровень возможности реализации угрозы (Opportunity Level — OL).

10. Уровень эффективности контрмеры (Effect Level - EffL).

Результат оценки свойств объекта формируется на нечеткой шкале базовых характеристик с помощью базовой функции принадлежности.

Нечеткой шкалой базовых характеристик (Fuzzy Scale of Basic Properties) для типа t € Type, t ф tj^,. называется упорядоченное нечеткое множество FSBP(t) e t^jij векторов fp, координатами которых являются нечеткие базовые характеристики свойств - лингвистические нечеткие значения, характерные для объектов (t):

VteType t*tSca|c;

def (3)

FSBP(t) = {fp = (fPi) | fpj e FP, FPj e tSca)e} e tScale.

Базовой функцией принадлежности (Base Membership Function — bmf) для объектов e типа t e Type, t* tscaig, называется функция принадлежности объектов е e (t) к векторам шкалы FSBP(t):

bmf: (t) х FSBP(t) -> [0, 1 ]. (4)

Тип VULNERABILITY. Уязвимостью tv e Type называется тип объектов с измеримыми свойствами "Уровень воздействия элемента" и "Уровень простоты использования уязвимости", удовлетворяющие условиям:

tvakot^At^i,. ako tv;

Vth e (tx) V v e (tv) Risk(IS u (th, v)) > Risk(IS),

где (th, v) определяет пару, состоящую из угрозы th и реализующей ее уязвимости v.

Тйн THREAT. Уфозой tT е Туре называется тип объектов с измеримыми свойствами "Потенциальная стоимость реализации угрозы на ресурс", "Предпочтение выбора угрозы по стоимости", "Уровень воздействия элемента", "Уровень

^Научно-технические ведомости СПбГПУ 5' 2009

возможности реализации угрозы", удовлетворяющие условиям:

tTako tResAtScale ako tT;

Vth e (tT) Risk(IS u th) > Risk(IS).

Тип RISK. Риском tRisk e Type называется тип объектов, измеримый на одной из следующих шкал RS, где RS = [0, оо) - пространство рисков:

на непрерывной шкале рисков

def

RSC ={re(tRlsk)|3rhlgh e RS r <rhigh <00}e: R&<5)

дискретной шкале рисков

def

RSp = {г 6 (tRllk) I r e N u {0} л 3 rhlgh e N u {0}(6) r<rhlgh<oo}c:RS;

на нечеткой шкале рисков

def

={re(tRlJk)| re[0,1]} с RS. (7)

В качестве отношений Rel между элементами ИС выбраны следующие:

1. Нечеткое отношение критичности ресурса (Resource Criticity Relationship — RCR) — rcrc R x IS. Принадлежность пар (r, IS) e R x IS к этому нечеткому подмножеству гсг задается на лингвистической шкале FPcr: цгсг : R х IS -» FPCR. Для определения критичности ресурса используется функция дефазификации Critical(r) = Defuz

2. Нечеткое отношение индуцирования ущерба (DamageInduction Relationship—DIR)—direr Rx R. Принадлежность пар (ri5 Tj) e R x R к этому нечеткому подмножеству dir задается на лингвистической шкале FPAffccl: pdjr : R х R -> FP^,. Для определения степени воздействия элемента на ИС используется функция дефазификации Affect(rj, rj) = Defuz(^dir(rj, Г|)). Через данное нечеткое отношение фактически задается трехдольный граф (уязвимость - угроза — ресурс), определяющий стандартную модель угроз ИС.

3. Нечеткое отношение простоты использования уязвимости (Vulnerability Easy Using Relationship — VEUR) —veurcVxTx R. Принадлежность троек (vj, tj, rk) e V x T x R к этому нечеткому подмножеству veur задается на лингвистической шкале FP^,: : V х Т х R FPEasy. Для определения степени простоты использования уязвимости используется функция дефазификации Easy(Vj, tj, rk) = DefuziiVurK' lj> rk»-

Оценка рисков ИБ

Функцией оценки риска информационной безопасности (Information Safety Risk Function) названо отображение, сопоставляющее любым объектам ПО ИБ типа t)S уровень шкалы рисков RSF e t**: Risk :(tIS)-> RSF.

Уровень риска r e RSF: r = Risk(IS(E)) e RSp называется уровнем риска информационной безопасности (Information Safety Risk) для заданной ИС, или риском ИБдля ИС.

Число s e RSp, такое, что s = 1 — r e RSp, где r e RSp — вычисленный уровень риска для некоторой IS(E), называется уровнем информационной безопасности (Information Safety Level) для заданной ИС.

Поставим вопрос о "близости" двух ИС в смысле близости их рисков.

Назовем квазиметрикой рискадействительную функцию ModIS:(tls)x(t,s)->RSp:VIS,, IS2 e

def

(tls) ModIS (IS,,IS2) = |Risk(IS,)-Risk(IS2)|.

Рассмотрим квазиметрическое пространство информационных систем: <(tiS), ModIS> и поставим для него вопрос о полноте. Положим, что

lim IS„(E) = IS <=> Ve > 0 3N = N(p.)Vn > N

n—»ОС

ModlSdîv IS)<e.

Назовем последовательность информационных систем по квазиметрике риска фундаментальной, если выполняется условие

Ve > О 3N = N(e) Vn > N Vm > N ModIS(ISn, ISJCe.

Число информационных систем ISk, а также их рисков rk конечно и линейно упорядочено. Если для некоторой IS Risk(IS) = г, и гк<г< гк +,, то будем считать, что IS = ISk. При этом допущении на множестве (t)S) можно сохранить аналог теоремы о полноте метрических пространств.

Доказаны следующие теоремы.

Те о р е м а 1. Квазиметрическое пространство <(tls), ModIS> является полным.

Теорема 2. Всякое сжимающее отображение f : (t|5) -> (tIS), определенное в полном квазиметрическом пространстве <(tls), ModIS>, имеет неподвижную точку IS, такую, что f(IS) = IS.

Следствие. Неподвижная точка для сжимающего отображения, заданного в полном квазиметрическом пространстве <(t|s), ModIS>, не обязательно единственна.

+

Математическое моделирование: методы, алгоритмы, технологии.

Произвольную интерпретацию алгебраической системы < М; О; Я >, где М — множество всех информационных систем и рисков, в общем случае М = (115) и О — множество операций на М, Я — множество отношений на М, назовем моделью состояния информационной безопасности заданной информационной системы.

Моделирование контрмер в задаче оценки рисков И Б

Пусть задана 15(Е1) е (1(5). Контрмерой (СоиШегшеавиге) для 15(Е,) называется такая ИС сгп = 15(Е2) е (1!5), объединение которой с 15(Е|) уменьшает риск ИБ 15(Е,), т. е. ст € 0:см) оШ5к(ЩЕ,)^ст)< ОДкДОСЕ,)).

В рамках разработанных моделей доказаны следующие теоремы.

Те о р е м а 3. Для любой ИС 1Б(Е) е (1]5) существует единственный уровень риска г„^п € БЯр, такой, что для любой контрмеры С е СМ(15(Е)) уровень риска ИБ для ИС с введенной контрмерой не меньше т. е.

УЖЕ) е (1|5) 3! гтш е БЛрУС е СМ(»(Е))

Ш5к(15(Е)иС)>гт1П. (8)

Изданной теоремы вытекает следствие о существовании контрмеры, минимизирующей риск.

Следствие. Для любой ИС ЩЕ) е (1,5) существует контрмера С е СМ(15(Е)), такая, что уровень риска И Б для ИС с введенной контрмерой равен гт(п:

ЗС е СМ(15(Е)) Ш8к(15(Е) и С) = гЫп. (9)

Для оценки эффективности контрмер, заданной ИС IS(E) е (t|S), введены следующие функции: абсолютная оценка эффективности контрмеры, заданная через уменьшение уровня риска ИБ, определяемая в виде (10):

г-гг / ю\ rold — rnew rold > rnew ,, Л1Ч

Eff,(cm, IS) = < ; (10)

L0' rold - rncw

относительная оценка эффективности, определяемая через изменение риска относительно старого уровня в виде (II):

EfT2(cm, IS) =

rold rnew

rold

0- rold - rnew

• rold > rnew

(ID

Оценка эффективности контрмер с точки зрения риска И Б позволяет ставить и решать оптимизационные задачи по целенаправленному снижению уровня риска И Б.

В статье предложен подход к моделированию объектов информационной безопасности для задачи оценки рисков И Б.

Разработка формальных моделей в рамках теории алгебраических систем дала возможность доказать ряд фундаментальных теорем, позволяющих формально решать задачи управления рисками информационной безопасности.

Разработанные модели можно использовать для создания формальных методик оценки и управления рисками И Б, в рамках которых будут предложены четко обоснованные шаги для снижения рисков.

СПИСОК ЛИТЕРАТУРЫ

1. Аникин И.В. Управление внутренними рисками информационной безопасности корпоративных информационных сетей // Научно-техничес-кие ведомости СПбГПУ. Сер. Информатика, телекоммуникации, управление. 2009. № 3 (80). С. 35-39.

2. Аникин И.В., Аджели МЛ., Глова В.И. Мягкие вычисления и их приложения: Учеб. пособие. Казань: Изд-во Казан, гос. техн. ун-та, 2000. 64 с.

3. ГИльмуллин Т.М. К вопросу о моделировании предметной области "Оценка, анализ и управление рисками в ИБ" // Проблемы техники и технологий телекоммуникаций ПТиТТ-2008: Тез. докл. 9-й междунар. науч.-техн. конф. Казань,

25-27 ноября 2008. Казань: Изд-во Казан, гос. техн. ун-та, 2008. С. 453-454.

4. Гильмуллин Т.М. Развитие методики оценки рисков от Digital Security // XVI Туполев-ские чтения. Междунар. молодежная науч. конф. 28-29 мая 2008: Тр. конф. T. III. Казань: Изд-во Казан, гос. техн. ун-та, 2008. С. 89-90.

5. Петренко С.А., Симонов C.B. Управление информационными рисками. Экономически оправданная безопасность. М.: Компания АйТи; ДМК Пресс, 2004. 384 с.

6. Цаленко М.Ш. Моделирование семантики в базах данных. М.: Наука. Гл. ред. физ-мат. лит., 1989. 288 с.