CC BY
20
МОДИФИЦИРОВАННАЯ МОДЕЛЬ ОБЩЕГО КОНТЕКСТА
БЕЗОПАСНОСТИ НА ОСНОВЕ ОБЩИХ КРИТЕРИЕВ В КОНТЕКСТЕ КОНКУРЕНТНОГО ПАРНО-СУБЪЕКТНОГО
ВЗАИМОДЕЙСТВИЯ
А.С. Пастухов
Научный руководитель - д.т.н., профессор Л.Г. Осовецкий
Статья затрагивает некоторые проблемы, связанные с фундаментальным подходом стандарта «Общие критерии» и его аутентичного перевода РД БИТ к Общему контексту безопасности (ОКБ). Приводится расширенное представление о характере взаимодействия элементов ОКБ, вводится конкурентный характер противостояния субъектов ОКБ и указывается дуальная направленность данного противостояния. В статье так же приводится математический аппарат, реализующий данное взаимодействие.
Введение
Информационные технологии играют все большую роль в современном мире. Совершающийся на наших глазах переход человеческого общества от постиндустриального к информационному влечет за собой как новые преимущества, так и новые проблемы. Информация, являющаяся нематериальным ресурсом, постепенно превращается в главнейшую составляющую человеческой деятельности. Тот, кто владеет информацией, правит современным миром. Поэтому современные высокие технологии немыслимы без защиты информации.
Вопросы обеспечения информационной безопасности исследуются в разных странах достаточно давно. Со временем люди, занимающиеся данной проблемой, пришли к выводу, что существование серьезного и комплексного подхода к защите информации не возможно без закрепления всех разработанных методов в специальных документах -стандартах. Одним из таких стандартов являются «Общие критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation). За этим документом исторически закрепилось более короткое название - «Общие критерии», ОК (Common Criteria, CC).
В Российской Федерации ОК получили распространение в виде своего аутентичного перевода - Руководящего документа Гостехкомиссии РФ по безопасности информационных технологий (РД БИТ).
На наш взгляд, одной из недоработок ОК (РД БИТ) является концентрация стандарта на оценке ИБ как таковой и упрощение представления о взаимодействии субъектов в контексте модели отношений высокоуровневых понятий безопасности.
В работе поставлены следующие задачи:
1. поэлементно описать модель взаимодействия высокоуровневых понятий безопасности в нотации РД БИТ. Провести формальный анализ структур субъектов, взаимодействующих в данной модели, и расширить характер их взаимодействия с однопо-лярного до дуального (парно-субъектного);
2. модифицировать модель с учетом расширенного представления о взаимодействии ее элементов. Проанализировать конкурентную борьбу вышеупомянутых субъектов, выявить ее причины и цели. Учесть важную роль СЗИ (СУИБ) в структуре каждого из конкурирующих субъектов (К-субъектов);
3. на основе эмпирических данных разработать математический аппарат, реализующий конкурентное взаимодействие субъектов.
Системотехническая модель конкурирующего взаимодействия
В [1] приведена схема, иллюстрирующая высокоуровневые понятия безопасности и их взаимосвязь. Данная схема представляет собой системотехническую модель, до-
полненную текстовыми комментариями. Рассмотрим основные элементы модели и связи между ними подробнее.
Рис. 1. Понятия безопасности и их взаимосвязь
За сохранность рассматриваемых активов отвечают их владельцы, для которых эти активы имеют ценность. Существующие или предполагаемые нарушители также могут придавать значение этим активам и стремиться использовать их вопреки интересам их владельца. Владельцы будут воспринимать подобные угрозы как потенциал воздействия на активы, приводящего к понижению их ценности для владельца. К специфическим нарушениям безопасности обычно относят (но не обязательно ими ограничиваются): наносящее ущерб раскрытие актива несанкционированным получателем (потеря конфиденциальности), ущерб активу вследствие несанкционированной модификации (потеря целостности) или несанкционированное лишение доступа к активу (потеря доступности).
Владельцы активов будут анализировать возможные угрозы, чтобы решить, какие из них действительно присущи их среде. В результате анализа определяются риски. Анализ может помочь при выборе контрмер для противостояния угрозам и уменьшения рисков до приемлемого уровня.
Контрмеры предпринимают для уменьшения уязвимостей и выполнения политики безопасности владельцев активов (прямо или косвенно распределяя между этими составляющими). Но и после введения этих контрмер могут сохраняться остаточные уязвимости. Такие уязвимости могут использоваться нарушителями, представляя уровень остаточного риска для активов. Владельцы будут стремиться минимизировать этот риск, задавая дополнительные ограничения.
Таким образом, данная модель является моделью конкурентного взаимодействия двух субъектов - Владельца и Нарушителя, борющихся за обладание активом. При
этом Владелец использует исключительно защитные методы - политику информационной безопасности, анализ рисков и другие контрмеры. Нарушитель, соответственно, использует исключительно методы нападения - порождает различные угрозы, анализирует защитные методы Владельца, ищет «дыры» в политике информационной безопасности. Полученную модель, поэтому можно назвать «парно-субъектной» по характеру взаимодействующих элементов.
Так что же происходит в реальном мире в контексте безопасности информационных технологий? Здесь каждый из элементов нашей модели перестает быть абстрактным субъектом и обретает плоть.
Например, Владелец - это некая фирма А, которая обладает важным информационным активом V (ноу-хау). Данный актив V позволяет фирме А занимать лидирующее положение на рынке и получать прибыль.
Нарушитель - это некая фирма В, которая хочет злоупотребить и\или нанести ущерб активу V, принадлежащему фирме А. С этой целью фирма В порождает различные угрозы в отношении фирмы А с целью преодолеть защитные контрмеры, создаваемые политикой информационной безопасности фирмы А, и похитить либо нанести ущерб активу V.
Какие же нарушения безопасности угрожают активу V?
• Нанесение ущерба путем раскрытия актива несанкционированным получателем (потеря конфиденциальности);
• ущерб активу вследствие несанкционированной модификации (потеря целостности);
• несанкционированное лишение доступа к активу (потеря доступности).
Чем данные нарушения могут быть выгодны руководству компании В?
• Потеря конфиденциальности активом V может нивелировать лидирующее положение фирмы А на рынке, вследствие потенциальной возможности других компаний использовать актив V в своих собственных целях.
• Потеря целостности или доступности активом V также может привести к потере фирмой А лидирующего положения на рынке, вследствие невозможности фирмой А в дальнейшем пользоваться данным активом V.
В каноническом представлении РД БИТ рассмотренные субъекты выглядят следующим образом.
Фирма А (Владелец), как уже было сказано, обладает активом V, которому угрожают риски Я, которые образуются вследствие наличия у фирмы А уязвимостей Н. Для защиты актива V фирма А применяет различные контрмеры О, призванные снизить риски Я для актива V, которые направлены на уязвимости Н.
Фирма В (Нарушитель) порождает угрозы и и хочет злоупотребить и\или причинить ущерб активу V, принадлежащему фирме А.
В подобном случае каждый из субъектов - фирма А и фирма В - выполняют свою собственную функцию - защитную и атакующую. Но фирма сама по себе не может выполнять подобную функцию. Этим должен заниматься один из ее элементов. В случае фирмы А таким элементом является система защиты информации (СЗИ). Данная система создается исключительно для защиты актива V от угроз И, т.е. для реализации контрмер О. У фирмы В в ее каноническом виде по РД БИТ должен быть исключительно один элемент, отвечающий за порождение угроз и.
Возникает закономерный вопрос - какая же польза от этого фирме В? Почему фирма В хочет завладеть либо причинить ущерб активу V? Подобное желание легко объяснить - фирма В на самом деле является конкурентом фирмы А. В таком случае фирме В выгодно злоупотребить и\или причинить ущерб активу V, принадлежащему фирме А, поскольку это позволит фирме В упрочить свое положение на рынке и победить в конкурентной борьбе.
Логично предположить, что, раз фирма А и фирма В функционируют на одном рынке и являются конкурентами, структура фирм должна быть похожа. Единственное структурное различие будет заключаться в различных функциях отдела информационной безопасности. У фирмы А этот отдел выполняет защитную функцию, а у фирмы В - функцию нападения. По аналогии с фирмой А представим фирму В в виде модели.
Фирма А
Рис. 2. Структура субъекта «Владелец» (Фирма А)
Рис. 3. Структура субъекта «Нарушитель» (Фирма В)
Таким образом, фирма В, так же как и фирма А, обладает активом У2, который она ценит и хочет сохранить. Этим активам у2 угрожают риски г2, которые могут использовать уязвимости и2. Но о каких уязвимостях может идти речь, если мы предполагаем наличие у фирмы В только системы нападения на актив у1? При такой структуре фирма В очень быстро прекратила бы свое существование вследствие отсутствия СЗИ. Однако фирма В надеется занять лидирующее положение на рынке, для чего порождает различные угрозы активу у1. Следовательно, у фирмы В тоже есть СЗИ, кото-
рая защищает актив у2 от угроз и2. Но кто же в таком случае порождает угрозы Ц2? В нашей ситуации, если на рынке нет больше никаких участников, кроме фирм А и В, таким источником угроз Ц2 может служить только система нападения фирмы А. Логично также предположить, что эти функции в обоих системах (фирмах) исполняет один и тот же элемент - СЗИ.
Таким образом, в результате вышеприведенных умозаключений мы приходим к иной трактовке взаимодействия наших субъектов А и В. Не существует никаких «хороших» владельцев и «плохих» нарушителей. На рынке идет конкурентная борьба между двумя СЗИ, каждая из которых сформирована в собственной фирме. Основными задачами таких СЗИ являются одновременно попытки завладеть чужим активом и не допустить захвата собственного актива.
В результате подобного подхода однополярная модель РД БИТ может быть преобразована в парно-субъектную модель взаимодействия двух конкурирующих субъектов (К-субъектов), а точнее, модель взаимодействия СЗИ этих субъектов (рис. 4).
Рис. 4. Парно-субъектная модель конкурирующего взаимодействия
Математический аппарат
Опишем элементы математической модели.
Главные элементы: А1, А2 - активы, принадлежащие соответственно фирме А и фирме В; У1, У2 - уязвимости в СЗИ фирмы А и фирмы В, соответственно; Л, 12 - угрозы, порождаемое в отношении друг друга фирмами А и В.
Побочные элементы: 1от1, 1от2 - все угрозы, отраженные СЗИ фирм А и В, соответственно; 1ота1, 1ота2 - угрозы, активно отраженные СЗИ фирм А и В. Коэффициенты:
. 1от1 1от2
Кз1= л , Кз2 =——--коэффициенты успешности выполнения защитных функций СЗИ фирм А и В;
Ка1= ^ота1, Ка2= ^ота2 - коэффициенты, показывающие успешность атак, поро-1от1 1от2
ждаемых СЗИ фирм А и В.
Кот1, Кот2 - коэффициенты, показывающие успешность отражения угроз СЗИ
фирм А и В.
Рассмотрим частный случай, в котором
У1=У2, А1=А2, Кот1 = Кот2.
Подобные условия необходимы для упрощения вычислений и большей точности при выражении конкурентных отношений наших субъектов.
Зададим дополнительное ограничение:
Кз1 > Кз2, откуда следует, что
> 1
Кз2
Запишем данное неравенство, но за основу возьмем Ка1 и Ка2. Получим
Ка2 ^ > 1
Ка1 ^ Л2 " .
Данное соотношение наглядно демонстрирует решающее влияние угроз Л, 12 на нашу модель.
Введем функцию защищенности Б ^К""!], показывающую зависимость коэффициента защищенности Кз1 от отношения коэффициентов атаки.Ка1 и Ка2. Получим следующие отношения:
Кз1 = —; Кз2 = - 1
Ка2 Ка1
Условием баланса защищенности в конкурентной борьбе фирм А и В является обратная пропорциональность отношения коэффициентов защищенности к отношению коэффициентов успешности атак:
Кз1 = Ка2
Кз2 Ка1 .
Заключение
В статье были решены следующие задачи.
1. Поэлементно описана модель взаимодействия высокоуровневых понятий безопасности в нотации РД БИТ. Проведен формальный анализ структур субъектов, взаимодействующих в данной модели, расширен характер их взаимодействия с однополяр-ного до дуального (парно-субъектного).
2. Модель модифицирована с учетом расширенного представления о взаимодействии ее элементов. Проанализирована конкурентная борьба вышеупомянутых субъектов, выявлены ее причины и цели. Учтена роль СЗИ (СУИБ) в структуре каждого из конкурирующих субъектов (К-субъектов).
3. На основе эмпирических данных разработан математический аппарат, реализующий конкурентное взаимодействие субъектов.
Литература
1. Руководящий документ Гостехкомиссии РФ «Безопасность информационных технологий», 2002. С. 8.
