Оценка конфиденциальности корпоративных информационных ресурсов Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.021

ОЦЕНКА КОНФИДЕНЦИАЛЬНОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ

РЕСУРСОВ

К. С. Барабанов

Данная работа нацелена на описание модели оценки конфиденциальности корпоративных информационных ресурсов. В начале статьи описана обобщенная методика обеспечения конфиденциальности корпоративной инфраструктуры, основанная на индикативно-алгоритмическом подходе. Далее рассматривается математическая модель и методика анализа информационных рисков на стадии предпроектного исследования в домене конфиденциальности корпоративных информационных ресурсов

Ключевые слова: информационные ресурсы, конфиденциальность информации, информационные риски, управление информационной безопасностью, индикативно-алгоритмический подход

Информационная система (ИС) обеспечения конфиденциальности корпоративных информационных ресурсов (КИР) - это одна из важнейших составляющих системы обеспечения корпоративной безопасности. Её бесперебойное функционирование - залог сохранности КИР, составляющих интеллектуальную собственность. Отсутствие универсальных решений и инструментов, обеспечивающих оценку конфиденциальности корпоративных информационных ресурсов на стадии предпро-ектной и проектной реализации ИС обеспечения конфиденциальности КИР, порождает необходимость в поиске соответствующих моделей и методик.

Исследования в области конфиденциальности совокупности информационных ресурсов и технологий (системы, сети, данные, приложения, реализуемые деловые функции) обычно позиционируются в терминах угроз и нежелательных последствий, которые касаются совокупности деловых процессов, реализуемых в корпорации. Чаще всего в качестве частных и интегральных оценок уровня реализуемой конфиденциальности используются оценки рисков. Оценки рисков могут интерпретироваться в формате единственного значения (уровень интегрального риска), или набора значений (например, уровень уязвимости по отдельным видам информационных атак, уровень уязвимости при реализации угроз инсайдером, возможность или невозможность расширенного использования защищаемого ресурса). Проблемы с применением оценок риска всегда состоят в том, как детерминировать полученные оценки риска (т.е. результаты моделирования риска) и как транслировать математически вычисленные риски в деловые риски. Разрешение этой дилеммы составляет предмет прикладных исследований в каждой конкретной интерпретации корпоративной информационной конфиденциальности.

В исследуемой методике оценки конфиденциальности КИР заложен индикативно-

алгоритмический подход [1]. В нашем случае схема этого подхода состоит в использовании следующих

Барабанов Константин Семёнович - РАГС, аспирант, E-mail: barabanov.info@gmail.com

объектных категорий: поле возможных атак на ресурсы и технологии, комплекс мероприятий обеспечения безопасности, эксперты, методики (включая алгоритмы), индикаторы информационных рисков, организационные решения по политике безопасности.

Существо предлагаемого индикативноалгоритмического подхода состоит в следующем. Количественные оценки информационных рисков нечетко детерминированы по отношению к основным деловым процессам и качественному состоянию сложной системы (корпоративной информационной инфраструктуры), но имеются апробированные алгоритмы получения определенного вида количественных оценок рисков, которым доверяют уполномоченные эксперты. С использованием указанных алгоритмов делаются количественные оценки, которые используются уполномоченными экспертами для подготовки организационных решений, ориентируясь на изменения численных значений принятых (используемых) индикаторов информационной безопасности. Увеличение или уменьшение значений индикаторов отождествляется с дееспособностью совокупности мероприятий по обеспечению информационной безопасности. Данная схема реализует традиционную парадигму анализа количественно-качественных характеристик сложных систем, позиционированную к рассматриваемому предмету исследования.

Приведенная ниже лингвистическая диаграмма определяет содержание рассматриваемой методики, по которой строится архитектура информационной системы обеспечения конфиденциальности КИР:

Информационная конфиденциальность =

анализ рисков + политика безопасности + механизмы безопасности + контроль воздействия + реакция на воздействия + ревизия политики безопасности + алгоритм управления безопасностью

В данной статье сосредоточимся на модели анализа рисков как на основополагающей для реализации математической модели информационной системы обеспечения конфиденциальности КИР.

В методологии анализа информационных рисков [2-5], как правило, используется три различных по содержанию формата оценки риска:

Базовый риск (RБ) — теоретический риск, ориентированный на самый тяжелый (неблагоприятный) случай функционирования информационной системы. Он базируется на самом тяжеловесном сценарии информационной операции, предпринимаемой злоумышленником, и включает все допустимые угрозы и все возможные элементы уязвимости.

Фактический риск (R0) — фактический риск, связанный с четко детерминированными или подтвержденными по исторической ретроспективе (или пролонгированному прогнозу) условиями возникновения информационных угроз, сопоставленных с другими факторами, которые учитываются при планировании (сценарии) функционирования несущей организационной системы.

Остаточный риск (R°) — теоретическая остаточная часть риска, которая может возникнуть после изъятия фактического риска из базового, с учетом соответствующего сопоставления уязвимости и возможного противодействия в границах политики информационной безопасности, т.е. имеет место соотношение:

R = RФ + R°

Каждый вид риска оценивается с использованием соответствующих функций риска, представленных ниже. Эти функции идентичны по формальной природе, но имеют различное параметрическое наполнение в зависимости от формата оценки риска.

В структуре рассматриваемой модели в качестве количественной характеристики факторов информационного риска используется функция риска R. Данная функция имеет размерность функции потерь L. При этом данная функция может иметь размерность физической метрики потерь (например, цена или себестоимость информационных ресурсов и технологий при их создании, накоплении или восстановлении) или быть безразмерной величиной (нормированной относительно некоторой базовой величины), построенной на специально введенной метрике.

В качестве инструмента оценки информационных рисков выбран байесовский подход. Байесовский подход предусматривает применение в качестве меры "степени доверия" использование субъективной вероятностной меры, т.е. числовой меры, с которой можно оперировать как с вероятностями. Необходимо отметить, что этот подход используется в фазах предпроектного и проектного исследования.

При использовании байесовского подхода субъективная вероятностная мера определяется как отношение физически метризуемых мер, которые доступны на стадии предпроектного и проектного исследования. К этим мерам относятся реально измеримые величины, являющиеся характеристиками архитектуры инфраструктуры, характеристиками потоков воздействий, рабочими характеристиками операционных и прикладных программных сред и т. п.

При использовании физически метризуемых мер и их отношений всегда проверяется правомерность применения байесовской парадигмы. Эта проверка состоит в оценке правдоподобия используемых данных (метризуемых мер) по отношению к оценкам защищенности используемых ресурсов и технологий.

Для байесовского риска, основанного на предположении, что параметр п является случайной величиной с априорным распределением п=п(ёп) (п-риск) на множестве рассматриваемых воздействий Н —

Я(п, 8) = \НЬ(ц, ё)п(ёп) (1)

Для байесовского риска как усредненного риска (по совокупности стратегий) по некоторой априорной вероятностной мере /и на семействе ¥— ям(8) = ^Я(пеР, 8)и(аР(^)> (2)

В соотношениях (1) и (2) интегрирование осуществляется в смысле Стилтьеса на функции, заданной на множествах Н или ¥.

В этих формулах используются следующие категории и обозначения:

ПеН — множество параметров, относительно которых детерминируется измеримость пространства решений по обеспечению информационной безопасности, совокупность (семейство) параметров кибератак и иных действий злоумышленника, связанных с нарушением информационной и технологической среды исследуемой инфраструктуры (параметры учитываемых угроз),

Ь — функция потерь,

8: Х^Б — решающая функция, где Х<^ВБ — выборочное пространство инструментов управления безопасностью,

Б(ё) —пространство допустимых решений по обеспечению информационной безопасности, где ё

— элементы решений по реализации политики безопасности,

¥ — семейство байесовских априорных вероятностных мер и, генерируемых организационными агентами информационной безопасности,

/и, п — байесовские априорные меры.

Существо байесовского подхода, который использован при мотивации облика системы моделей оценки информационных рисков состоит в использовании следующей модели байесовской вероятностной меры [6-8]:

Байесовская апостериорная плотность распределения вероятностей = Стандартизованное правдоподобие X Байесовская априорная плотность распределения вероятностей

При исследовании информационной конфиденциальности на этапе предпроектного исследования мы сталкиваемся с большой степенью априорной неопределенности. В этом случае Стандартизованное правдоподобие, представляемое функцией (или кривой) правдоподобия V(S, X), оказывает существенное влияние на вид функций п и /и, а, следовательно, на результат по оценке информационного риска. Для форматирования функции V(S, X)

используются специальные эксперименты и экспертные оценки.

Для параметризации функции правдоподобия У(8, X) используется множество стратегий информационной обороны 8(БхН) и векторная или скалярная величина X — параметр совместного проявления факторов, представляемых множествами Б и

Н. Стратегия 8 формируется в соответствии со сценарной базой Ф, рассмотренной ниже. Параметры X используются для идентификации формы кривой правдоподобия и определения интервалов детерминированного (заданного) правдоподобия. Технологии построения функций правдоподобия в представленной параметризации в настоящее время хорошо известны [6, 7].

Функция потерь Ь(п, ё) в (1) может содержать стоимостные оценки утраты информации и восстановления информационных ресурсов и технологий. В том числе для ее параметрического наполнения могут использоваться модели совокупной стоимости владения (ССВ). Кроме того, в параметрическое представление этой функции могут включаться компоненты, отражающие потери (ущерб) в сфере основной деятельности организационной инфраструктуры и иные компоненты. Эти элементы функции Ь получаются, как правило, на основе экспертных оценок и нормируются под масштаб величин, полученных из модели ССВ.

На основе представленной выше модели решается класс задач, связанный с детерминацией элементов множества ВБ на объектах информационной инфраструктуры и регламентов их применения. При этом следует отметить, что решение данной задачи является исключительным правом группы проектирования защитных средств и защитных мероприятий, т.е. элементов множества ВБ.

Существо задач данного класса состоит в поиске решения ё с использованием функциональных отношений (1), (2). При этом для детерминации объектов и морфизмов разрабатываются прогнозируемые сценарии Ф информационной экспансии злоумышленника на исследуемую инфраструктуру.

Каждый сценарий Ф представляется совокупностью (множеством) случайных событий Н(4ъ £2,..., 4»), погружаемых в качественно измеримое пространство (О, А) всех мыслимых его исходов

О.(а>) из множества событий А, которые могут произойти, и количественно измеримое пространство

— байесовское распределение Р=и вероятностной меры исходов, Ре¥, где ¥ известное семейство вероятностных мер (по способам их определения). Каждое случайное событие 4; предполагает детерминированный (или случайный с априорным распределением п) список экспансионистских действий злоумышленника по нарушению информационной конфиденциальности.

Совокупность множеств Н, А и X определяют содержание сценария Ф информационной экспансии и информационной обороны.

Формальная схема поиска терминального (заключительного) решения й=й(т) в границах сформированного сценария состоит в цепочке последовательных приближений (последовательного анализа Вальда [7], интерпретированного для информационной безопасности). Реализация цепочки основывается на возможности генерации ст-алгебры ¥п=ст{т: НхАхХ}. Здесь ст-алгебра — алгебра, порожденная случайными событиями 4ъ 42,---> 4», и детерминированными объектами из множеств А, X. ст-алгебра в нашем случае — это алгебра множеств (структура над НхАхХ со своей областью операторов О(ю)), замкнутая относительно образования теоретико-множественных операций, производимых в счетном числе.

Исследования, связанные с конфигурированием комплекса средств обеспечения информационной безопасности, проводятся на базе представленной методики, которая является основой аналитической поддержки исследовательского проектирования. Для получения терминальных решений по рациональному конфигурированию решаются оптимизационные задачи вида:

8(ё) = А^х ШК(п, 8) (3)

Общая схема анализа рисков на стадии исследовательского проектирования, связанная с конфигурированием средств информационной безопасности представлена на следующем рисунке.

го проектирования

Анализ рисков состоит из четырех шагов: планирование, метризация, оценка, оптимизация.

Планирование — состоит в формировании сценарной базы исследовательского проектирования Ф(н,О,А,Х,Н), т.е. в конкретном наполнении указанных множеств элементами и функциональными отношениями. Семейство этих множеств, в границах модели, интерпретируется как пространство действий и пространство параметров по позиционированию стратегии обеспечения конфиденциальности инфраструктуры.

Метризация — состоит в вычислении байесовских вероятностных мер для недетерминированных (нерегулярных) элементов множеств, входящих в Ф, а также иных величин, которые используются в интегральных формах (1), (2). Указанные величины вычисляются на основе известного [6, 7] методического аппарата проверки статистических

гипотез и построения байесовских моделей вероятностной оценки ситуаций.

Оценка — состоит в формировании форматов интегральных сумм, пределы которых определяют значения соответствующих интегральных форм (1), (2).

Оптимизация — состоит в поиске терминальных решений по конфигурированию средств обеспечения информационной безопасности с использованием процедур последовательного анализа. Получаемые решения в отношении решающих правил и их атрибутов могут быть детерминированными и рандомизированными. В первом случае они задаются функциями (логическими правилами или таблицами взаимосвязи), которые являются измеримым отображением пространства Оп. Во втором случае — переходными таблицами распределения последовательностей активации инструментов безопасности.

При формировании данного подхода к использованию функции риска для поиска релевантных (рациональных) решающих правил обеспечения безопасности использованы фундаментальные результаты теории статистических решений [6] состоящих в том, что:

1) для любого априорного распределения и(п) существует байесовское решающее правило;

2) совокупность всех байесовских решающих правил и их пределов образует полный класс;

3) минимаксные решающие правила Я* (минимизация последствий наихудших условий информационной экспансии) существуют и являются байесовскими относительно наименее благоприятного априорного распределения, при этом Я* = Я0,

здесь R0 — оптимальное решение в смысле, сформулированном выше.

В данной статье проведена работа по определению функциональных составляющих оптимальной стратегии оценки конфиденциальности корпоративных информационных ресурсов. Предложенная методика и соответствующая модель оценки информационных рисков может выступать базисом для исследований конфиденциальности корпоративных информационных ресурсов при реализации информационной системы обеспечения конфиденциальности на предпроектной и проектной стадии.

Литература

1. Third European Report on Science & Technology Indicators. European Commission, Brussels, 2003.

2. Перечислительные задачи комбинаторного анализа. Сб. переводов. М., “Мир", 1979.

3. Концепция системы обеспечения информационной безопасности государственного управления России. Итоговый отчет по НИР. М: РАГС 2O0I.

4. Cyber Security Research and Development Agenda. Materials of Consortium Institute for Information Infrastructure Protection I3P, 2003.

5. Federal Criteria for Information Technology Security. Published by NIST and NSA. Washington, 2003.

6. Леман Э. Проверка статистических гипотез. М., Мир, 1979.

7. Ченцов Н.Н. Статистические решающие правила и оптимальные выводы. М., 1972.

8. Giddings A.P. A Unified Approach to Statistical Assessment of Heuristic Quality in Combinatorial Optimization. Purdue University, 2002.

Российская академия государственной службы при Президенте РФ

ENTERPRISE INFORMATION RESOURCES PRIVACY ASSESSMENT

K.S. Barabanov

This paper represents the model of enterprise information resources privacy assessment. We start from the general procedure of enterprise infrastructure privacy protection, based on indicative-algorithmic approach. Further we discuss information security risk model and methods in the phase of preproject enterprise information resources privacy domain research

Key words: information resources, information privacy, information security, information risk, information security management, indicative-algorithmic approach