CC BY
77
А.П. Росенко
Россия, г. Ставрополь, Ставропольский государственный университет
НАУЧНО-ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ИССЛЕДОВАНИЯ ВЛИЯНИЯ ВНУТРЕННИХ УГРОЗ НА БЕЗОПАСНОСТЬ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, ЦИРКУЛИРУЮЩЕЙ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
Исследования показывают, что в настоящее время в результате воздействия внутренних угроз (ВУ) на автоматизированную информационную систему (АИС) имеют место более 80 % случаев несанкционированного доступа к конфиденциальной информации (КИ) [1,2].
В то же время анализ так показывает, что методология исследования теории защиты безопасности КИ, циркулирующей в АИС, определяется тремя факторами:
- количеством возможных ВУ, воздействующих на человеко-машинную АИС, перечень которых с течением времени изменяется за счет появления новых угроз, модернизации существующих и т.п.;
- сложностью формализованного представления большинства ВУ, так как по своей природе они являются качественными, не имеющими количественной оценки, а иногда и четкого описания, что вызывает существенные затруднения при их анализе и формализации;
- ограниченностью применения существующих методик, так как событие реализации ВУ является редким по сравнению с возможным количеством ВУ, воздействующих на АИС.
Указанные обстоятельства свидетельствует о необходимости комплексного (системного) подхода к исследованию проблемы защиты КИ, циркулирующей в АИС. В связи с этим в работе рассмотрены некоторые подходы к анализу и синтезу АИС с учетом воздействия на нее ВУ и к созданию научно-теоретических основ исследования влияния ВУ на безопасность КИ.
В указанных целях необходимо, прежде всего, рассмотреть некоторые термины и определения.
1. Основные термины и определения
1.1. Безопасность конфиденциальной информации
Безопасность в узком смысле слова означает отсутствие опасности для информации.
Безопасность КИ означает состояние защищенности АИС, при котором с требуемой вероятностью обеспечивается защита КИ от утечки, хищения, утраты, несанкционированного уничтожения, искажения, копирования, блокирования и т.п.
Безопасность КИ определяется соответствующими свойствами и характеристиками подсистем, элементов, являющихся составными структурными единицами АИС, пользователей и сотрудников, а также каналов передачи КИ.
1.2. Внутренняя угроза
Внутренняя угроза - потенциально-опасное событие, возникающее в процессе функционирования АИС, создающее особую ситуацию.
1.3. Событие. Потенциально-опасное событие
Событие - явление, переводящее АИС из одного состояния в другое.
Потенциально-опасное событие - событие, приводящее АИС из множества штатных в подмножество особых ситуаций.
1.4. Особая ситуация
Рис. 1. Возможные состояния АИС с учетом воздействия внутренних угроз
Особая ситуация - совокупность условий, проявляющихся в процессе функционирования АИС и характеризующихся возможным несанкционированным доступом к КИ.
В зависимости от степени опасности (например, по величине нанесенного материального ущерба) особые ситуации подразделяются: на несущественные; малосущественные; существенные; критические; катастрофические.
Особая ситуация имеет следующие исходы: непарирование проявившихся ВУ; парирование проявившихся ВУ.
1.5. Эффективность защиты КИ
Эффективность в узком смысле - это свойство объекта удовлетворять требованиям к услуге с заданными количественными характеристиками.
Эффективность защиты КИ - это степень соответствия достигнутых результатов защиты КИ поставленной цели.
На рис. 1 показаны возможные состояния АИС с учетом воздействия на нее внутренних угроз безопасности КИ.
В соответствии с рис. 1 на АИС воздействует конечное множество ВУ. Пусть в момент времени ґ і-я угроза (где і = 1, п) воздействует на АИС с целью несанкционированного доступа к КИ. При этом, как показано на рис. 1, такое воздействие возможно в процессе штатной работы АИС, либо когда АИС находится в режиме ожидания к работе.
В результате воздействия ВУ на АИС возможно возникновение особой ситуации, которая может привести к нарушению безопасности КИ. Цель злоумышленником будет достигнута в том случае, если проявившаяся угроза не будет парирована штатными средствами защиты информации либо действиями сотрудников обнаруживших и своевременно парировавших последствия от воздействия на АИС ВУ.
2. Объект исследования. Задачи исследования
В качестве объекта исследования в теории безопасности КИ принимается АИС, ее подсистемы и элементы подсистем. При этом под АИС понимается совокупность персонала, электронных технических устройств, систем связи и т.п., объединенных структурно для выполнения поставленной задачи. Выбор в качестве объекта исследования АИС объясняется тем, что причины несанкционированного доступа к КИ могут быть связаны с функционированием различных подсистем и элементов системы. Поэтому безопасность КИ рассматривается как одно из свойств АИС, а именно, ее способность обеспечивать выполнение поставленной задачи на различных уровнях построения иерархической структуры АИС.
На рис.2 представлена упрощенная схема АИС.
Как видно из рис. 2, наиболее существенными элементами такой АИС являются:
- носители КИ - любые материальные носители информации, характерные для рассматриваемой АИС, доступ к которым строго регламентирован;
- каналы передачи информации, под которыми понимаются каналы, в которых формируется, накапливается, хранится, передается информация ограниченного распространения;
- пользователи - это сотрудники или любые другие лица, которые в соответствии с трудовым договором или в результате заключения двустороннего соглашения имеют право доступа к КИ исходя из производственной необходимости.
Таким образом, как видно из рис. 2, ВУ могут воздействовать на любые элементы АИС. Нетрудно заметить, что представленная на рис. 2 АИС обладает признаками, присущими сложным системам.
Рис. 2. Упрощенная схема АИС
При исследовании АИС целесообразно учитывать следующие особенности:
- АИС представляет собой полиэргатическую систему, включающую: человека; технические средства обработки, хранения, передачи информации; системы связи. При анализе функционирования АИС необходимо учитывать технические, эргономические, психологические, психофизиологические, социальные и другие свойства;
- основным структурным элементом системы является «человек - информационная среда», в котором наиболее часто совершаются нарушения и который является потенциальным носителем несанкционированного доступа к КИ;
- иерархичность построения, быстрое изменение параметров функционирования структурных элементов АИС требует непрерывного наблюдения за системой с целью установления достоверных сведений о ее состоянии в течение всего времени функционирования. Прежде всего это относится к наблюдениям возникновения особых ситуаций, приводящих к нарушению безопасности КИ. На основе такого наблюдения разрабатываются профилактические мероприятия по оперативному реагированию на все нестандартные изменения в АИС в процессе ее функционирования;
- возникновение и проявление ВУ происходит в условиях неопределенности при активном участии человека, что свидетельствует о стохастичности протекающих в АИС процессов. Указанные особенности АИС свидетельствуют о необходимости применения для исследования поведения системы вероятностных подходов и методов математического моделирования;
- сложная иерархическая структура АИС, активное участие в процессе функционирования системы человека, стохастичность поведения системы приводит к тому, что для упрощения исследования АИС необходимо производить ее декомпозицию и рассматривать безопасность КИ на различных уровнях иерархической структуры системы.
Структура и состояния АИС могут быть описаны параметрами, образующими некоторое множество, которое образует два пересекающихся подмножества:
- подмножество управляемых параметров, целенаправленное изменение значений которых может производиться в разных подсистемах и элементах АИС;
- подмножество контролируемых параметров, подлежащих постоянному наблюдению в процессе функционирования АИС непрерывно или дискретно (по времени).
Задачей оптимального управления АИС является выбор таких значений управляющих параметров, которые обеспечили бы оптимальное значение критериев безопасности КИ, надежности и величины ущерба, нанесенного владельцу
КИ. При этом «оптимальность» определяется целями и задачами функционирования АИС.
Таким образом, основными задачами теории безопасности КИ являются:
- обнаружение, предупреждение, систематизация внутренних угроз, воздействующих на АИС, определение методов их парирования;
- определение критериев безопасности КИ и критериев оценки величины ущерба на всех уровнях иерархической структуры АИС как функции внутренних угроз;
- разработка организационно-профилактических мероприятий, направленных на выработку эффективных управляющих воздействий с целью минимизации вредного влияния внутренних угроз на конфиденциальную информацию.
3. Критерии и показатели оценки безопасности КИ
Сложность и комплексность проблемы анализа и синтеза АИС, иерархичность построения, присущая таким системам, предполагает, что оценка безопасности КИ должна осуществляться с применением системы показателей и критериев. Результаты такой оценки являются основой для принятия решений из некоторого множества альтернатив. Исследования показывают, что в указанных целях наиболее часто применяются статистические показатели и вероятностные критерии [8, 10,11].
3.1. Статистические показатели
На рис. 3 приведена структура статистических показателей безопасности КИ. В соответствии с рис. 3 статистические показатели могут быть абсолютными и относительными. В то же время абсолютные и относительные статистические показатели подразделяются на общие и частные.
Рис. 3 . Структура статистических показателей безопасности конфиденциальной информации
К общим абсолютным статистическим показателям безопасности КИ можно отнести следующие:
- общее число ВУ, воздействующих на АИС за определенный период (сутки,
месяц, год и т.п.) - ;
- абсолютный ущерб, нанесенный собственнику в результате воздействия на АИС ВУ (например, в тыс. рублей) - Яущ.
К общим относительным статистическим показателям безопасности КИ относятся:
- средняя наработка АИС на одну ВУ за определенный период (например, за
год)
/у
Тпд =
п
АО
где: - суммарная наработка АИС за определенный период;
- количество ВУ, проявившихся за этот же период; средняя наработка АИС на одну ВУ с последствиями за определенный период (например, за год)
С
Т.л =■
(ПАО )«
где (пЛЙ )пос - количество ВУ с последствиями за определенный период. средняя величина ущерба на одну ВУ с последствиями
- Я
Я =■
^Рао Уя
где Я - суммарная величина ущерба собственнику за определенный период
(например, за год).
К частным статистическим показателям относятся:
- распределение ВУ по причинам, вызвавшим их появление (халатность, безответственность и т.п. сотрудников организации);
- распределение ВУ по последствиям от воздействия на АИС (например, кража, подмена, уничтожение КИ и т.п.);
- распределение ВУ по частоте появления однотипных ВУ (например, частота кражи, подмены, перехвата КИ и т.п.);
- распределение ВУ по степени риска собственника КИ (например, наибольший, повышенный, средний, ограниченный, низкий и т.п.);
- распределение ВУ по последствиям от воздействия ВУ на КИ (например, катастрофические, критические, существенные, малосущественные, несущественные последствия).
3.2. Аналитические критерии
3.2.1. Общая постановка вопроса
Воздействие ВУ на элементы системы АИС в общем виде носит случайный характер и может привести к двум исходам [4]:
- благополучный исход, в случае если цель воздействия ВУ на АИС не достигнута;
- неблагополучный исход, во всех остальных случаях.
В связи с этим в качестве критерия оценки безопасности КИ можно принять вероятность благополучного исхода при воздействии на АИС ВУ [4].
Обозначим указанную вероятность через р. Тогда вероятность противоположного события, т.е. вероятность неблагополучного исхода при воздействии АИС ВУ, будет равна q . Указанные события составляют полную группу независимых событий. Тогда
р + q = 1. (1)
Из выражения (1) нетрудно заметить, что вероятности р и q являются аналитическими критериями оценки безопасности КИ.
3.2.2. Представление АИС в виде графа состояний
Предположим, что возможные состояния АИС в процессе воздействия на нее ВУ определены. Кроме того, известны направления ее случайных переходов из состояния в состояние. Тогда вполне возможно построить логическую схему (граф) состояния АИС, которая при известных вероятностях перехода системы из
состояния в состояние представляет собой логико-вероятностную модель АИС [6-8].
Правомочность такого представления АИС основана на том, что возможные исходы от воздействия на АИС ВУ являются случайными события в силу случайности появления тех или иных ВУ.
Рис. 4. Логико-вероятностный процесс воздействия на АИС /-й внутренней угрозы
На рис. 4 представлена логическая схема воздействия на АИС одной /-й ВУ.
3.2.3. Вероятность благополучного исхода от воздействия на АИС одной /-й внутренней угрозы
В соответствии с рис. 4 следует, что в процессе функционирования АИС существует некоторая опасность, связанная с воздействием на нее /-й ВУ.
При таком воздействии АИС может находиться в следующих состояниях:
- «О» - начальное состояние АИС;
- «АО » - состояние, когда /-я внутренняя угроза не проявляется с вероятностью р^
- «ВУ» - состояние, когда /-я внутренняя угроза проявилась с вероятностью qi
= 1 - рь
- «П» - состояние парирования внутренней угрозы, с вероятностью г;
- «I » - состояние не парирования последствий проявления внутренней угрозы с вероятностью г = 1 - г .
Конечные состояния АО и П соответствуют благополучному исходу при воздействии на АИС /-й внутренней угрозы.
Состояние I соответствует неблагополучному исходу при воздействии на АИС /-й внутренней угрозы.
Тогда, в соответствии с рис. 4, вероятность благополучного исхода от воздействия на АИС /-й внутренней угрозы определится следующим образом:
рае, = Рг + qiгi,
а вероятность неблагополучного исхода будет равна
Qм, = qlrl.
Так как вероятности Рм и 0М составляют полную группу событий, то
Рм, + 0м, = 1. (2)
Из (2) следует, что вероятность
Рш: = 1 - 0м:,
а вероятность
0м: = 1 - Рм: .
Таким образом, с точки зрения последствий воздействия на АИС внутренней угрозы на основе анализа выражений (2) можно сделать следующие выводы.
1. Количественной мерой, характеризующей последствий от воздействия /-й
внутренней угрозы на КИ, является вероятность благополучного исхода Р и вероятность противоположного события, т.е. вероятность неблагоприятного исхода в результате воздействия /-й внутренней угрозы на АИС, т.е. 0 .
2. Анализ выражения (2) свидетельствует о том, что вероятности Р и 0
являются критериями оценки последствий от воздействия на АИС /-й внутренней угрозы.
3. Анализ выражения (2) также показывает, что для количественной оценки
последствий воздействия внутренних угроз на АИС достаточно определить любую составляющую, например 0 . Определение другой составляющей из выражения
(2) не представляет сложностей.
3.3. Вероятность благополучного исхода от воздействия на АИС п внутренних угроз
3.3.1. Граф состояний АИС при воздействии на нее п внутренних угроз Анализ показывает, что на АИС, как правило, воздействует множество внутренних угроз. Предположим на АИС последовательно воздействует п внутренних угроз, последствия от которых могут привести к неблагополучным для КИ исходам. Причем каждая последующая угроза воздействует на АИС после парирования предыдущей.
Граф возможных состояний АИС при воздействии на нее п внутренних угроз, по аналогии с [6-8], можно представить в виде ветвящегося процесса (рис.5). В соответствии с рис.5 возможные состояния системы следующие:
АО - г -я внутренняя угроза с вероятностью ^ = 1 - р проявилась;
АО - г -я внутренняя угроза с вероятностью р не проявилась;
П, - последствия г -й внутренней угрозы, парированные с вероятностью г ;
- последствия г -й внутренней угрозы, не парированные с вероятностью
Г =1 - г.
Как видно из рис. 5, конечные состояния 11 и АО1 соответствуют благополучному исходу от воздействия на АИС г -й внутренней угрозы, а состояния 11 -неблагополучному исходу.
3.3.2. Определение вероятностей РБИ и QБИ.
В общем случае, вероятности состояний после каждого шага могут быть неравновероятными, но должны составлять полую группу несовместных событий.
Рис. 5. Граф состояний АИС при воздействии на нее п ВУ
Вероятность любого конечного состояния определяется как произведение всех вероятностей, указанных на ребрах графа. В то же время, так как конечные со-
стояния L несовместны, то вероятность любого числа N конечных состояний равна сумме их вероятностей, т. е.
Р{^ ) = ). (4)
Тогда с учетом (3) применительно к рис.5 для состояний 11 и вероятность благополучного исхода от воздействия на АИС ВУ, т.е. р, будет иметь
вид
п г-1 п
рлв =ЁрПдг +Пдг. (5)
г=1 j=1 г=1
Соответственно для вероятности противоположного события, т.е. вероятности неблагополучного исхода от воздействия на АИС ВУ - (состояния 11 ) будем иметь:
п __ г-1
Ом = ХдгПqjrj, (6)
г=1 j=l
где п - количество воздействующих на АИС внутренних факторов.
Полученные выражения (5), (6), для определения вероятностей благополучного р и неблагополучного событий позволяют оценить безопасность КИ от воздействия множества ВУ.
3.4. Определение вероятностей последствий от воздействия на АИС внутренних угроз.
3.4.1. Логическая схема возможных состояний АИС
Последствия от воздействия внутренних угроз на безопасность КИ могут быть различными. Наиболее распространенными из них являются:
- кража КИ;
- подмена (модификация) КИ;
- уничтожение (разрушение) КИ;
- нарушение нормальной работы АИС;
- ошибки и проступки персонала при работе в с КИ;
- перехват КИ.
Определение вероятностей таких случайных состояний АИС осуществляется с учетом того, что случайное проявление внутренней угрозы как потенциально опасного события, а также непарирование особой ситуации сопровождается несанкционированным доступом к информации.
Логическая схема возможных состояний АИС представлена на рис.6.
На рис.6 обозначения следующие:
- «0» - начальное (исходное) состояние АИС;
- «БИ»- внутренняя угроза с вероятностью рЛ6 не проявилась;
- «ОС» - внутренняя угроза с вероятностью = 1 - рйй проявилась, что привело к возникновению особой ситуации;
- особая ситуация с вероятностью гос парирована;
- особая ситуация с вероятностью г = 1 - Г, не парирована, что привело к перерастанию особой ситуации в несанкционированный доступ к КИ;
- вероятности ,ди ,ди ,д..я,д,дй - соответственно кражи, уничтожения
(разрушения), ошибок и проступок персонала, подмены (модификации), нарушения нормальной работы АИС, перехвата и нарушения доступа к КИ.
Рис. 6. Логическая схема возможных состояний АИС
3.4.2. Вероятности последствий от воздействия внутренних угроз на АИС.
В соответствии с рис. 6 вероятности последствий от воздействия внутренних угроз на безопасность КИ определяются следующим образом:
- вероятность благополучного исхода от воздействия на АИС ВУ
Рае = Раб + ЧабГт ; (7)
- вероятность противоположного события, т. е. вероятность неблагополучного исхода от воздействия на АИС ВУ
Qm = Чаог« ; (8)
- вероятность кражи КИ р» = Qm4s ; (9)
- вероятность уничтожения (разрушения) КИ р. = Qm4 п; (10)
- вероятность ошибок и проступков персонала РТад ^QAE Чтад ; (11)
- вероятность подмены (модификации) КИ
pm = QM Чт ; (12)
- вероятность нарушения нормальной работы АИС Рärn QM Чйёп ; (13)
- вероятность перехвата КИ
рт = QAi4r; (14)
- вероятность нарушения доступа к КИ
Рш = QAi4ä . (15)
Выражение (7) позволяет определить вероятность благополучного, а выражение (8) - неблагополучного исхода в целом от воздействия ВУ на АИС. Выражения (9)-(15) позволяют определить уровень безопасности КИ по видам последствий от воздействия на АИС ВУ.
При практическом использовании выражений (7)-(15) необходимо, для проверки компетентности полученных результатов, использовать выражение (2). Это связано с тем, что для ветвящегося процесса сумма вероятностей последующих состояний АИС, исходящих из предшествующих, равна единице.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Росенко А.П. Некоторые аспекты построения систем защиты информации на основе динамических экспертных систем // Электромагнитная совместимость и имитационное моделирование инфокоммуникационных систем. Сборник Поволжской государственной академии телекоммуникации информатики. - М.: 2002. С. 243 - 247.
2. Росенко А.П., Копытов В.В., Лепешкин О.М. Угрозы безопасности СевероКавказского региона в информационной сфере и пути их снижения // Угрозы безопасности России на Северном Кавказе: Монография. - Ставрополь, 2004. С. 163 - 188.
3. Росенко А.П., Грицык В.А. К вопросу расчета психологической устойчивости личности // Информационная безопасность. Материалы VI Международной научно-практической конференции. - Таганрог: 2004. С.383-384.
4. Росенко А.П., Клименко Е.С. - О выборе критерия оценки эффективности функционирования системы защиты информации // Первая международная научно-техническая конференция // Инфотелекоммуникационные технологии в науке, производстве и образовании. - Ставрополь: 2004. С. 207-208.
5. Росенко А.П. Состояние и проблема подготовки специалистов в области обеспечения информационной безопасности в СГУ для Северо-кавказского региона // Проблемы образования в области информационной безопасности. Сборник трудов Межвузовской научно-методической конференции - М. 2004. С. 45-47.
6. ТихоновВ.И., МироновМ.А. Марковские процессы - М.: Советское радио, 1977.
7. ВентцельЕ.С. Исследование операций - М.: Советское радио, 1972.
8. Финадорин Г.А. Использование теории случайных процессов для оценки бепасности полетов - К.: КВВАИУ, 1983. - 180 с.
9. Мосолов А.С., Новиков Ю.В. Обобщенный критерий оценки эффективности подсистемы обнаружения СКБ и оценки вероятности обнаружения нарушителя // - Таганрог -2004. С. 116-118.
10. Васильев В.И., Бабкова Т.О. Динамические сетевые модели для оценки защищенности объектов информатизации // Информационная безопасность, № 2, 2002. С. 190-193.
11. Ретнер А.Г., Нестеренко Н.Ю. Математическое моделирование экономически эффективной СЗИ корпоративной сети // Безопасность информационных технологий, №1. -М.: МИФИ, 2001. С. 81-82.
А.П. Росенко, С.П. Евстафиади, Е.В. Феник
Россия, г. Ставрополь, Ставропольский государственный университет
ПРИМЕНЕНИЕ МЕТОДИКИ ФУНКЦИОНАЛЬНОЙ ДЕКОМПОЗИЦИИ К ЛОКАЛЬНОЙ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ
Исследования показывают, что решение проблемы оценки эффективности защиты конфиденциальной информации (КИ) от воздействия внутренних угроз является достаточно сложной задачей [1, 2, 4, 6, 7].
