CC BY
117
О.М. Булгаков, В.В. Стукалов, Е.А. Кучмасов,
доктор технических наук, кандидат технических на- ФКУ «Главный центр связи
профессор ук, Воронежский и защиты информации МВД
институт Правительст- России»
венной связи (филиал)
Академии ФСО России
ПРИНЦИПЫ ПОСТРОЕНИЯ МОДЕЛИ НАДЕЖНОСТИ ОРГАНИЗАЦИОННОГО КОМПОНЕНТА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ
PRINCIPLES OF CREATING OF RELIABILITY MODELS FOR OBJECT INFORMATION DATA PROTECTION SYSTEM ORGANIZATIONAL COMPONENT
Показана возможность применения моделей оценки надежности технических систем для анализа надежности организационного компонента системы защиты информации объекта информатизации. В результате декомпозиции организационного компонента выделены четыре его функциональные подсистемы, для каждой из которых приведены аналитические выражения для расчета вероятности отказа.
The possibility of assessing the reliability of technical systemsfor the analysis of the reliability of the organizational component of the information object information protection system is demonstrated. Due to the decomposition of the organizational component assignedfourfunctional subsystems, each of which provides analytical expressions to calculate the probability of failure.
Как правило, при оценке защищенности информации, проводимой с целью анализа эффективности системы защиты информации (СЗИ) какого-либо объекта информатизации, не рассматриваются вопросы надежности защиты информации. Это связано с тем, что в настоящее время не существует моделей надежности, с одной стороны, согласующихся с общими подходами построения моделей надежности технических систем, а с другой — учитывающих специфику СЗИ. Разработанные модели надежности технических систем по ряду причин неприменимы к СЗИ, таким образом, вопрос о разработке модели надежности СЗИ является важной и актуальной задачей.
Схемы надежности, представляемые последовательно-параллельными соединениями элементов с известными количественными характеристиками надежности, широко применяются при построении моделей надежности сложных технических систем [1]. Однако такие схемы достаточно редко применяются для анализа систем защиты информации ввиду проблем детализации структуры объектов (декомпозиции) и четкого выделения элементов схемы и их взаимосвязей.
Рассмотрим структурную схему организационного компонента (ОК) СЗИ (рис. 1).
Рис. 1. Обобщенная схема надежности ОК СЗИ
При параллельном соединении системных элементов в схеме надежности отказ системы наступает лишь при одновременном отказе всех элементов системы, а при последовательном — при выходе из рабочего состояния хотя бы одного из них [1]. Будем считать фактором отказа (аргументом вероятности отказа в некоторый фиксированный момент времени) интенсивность I вредоносного воздействия на СЗИ, направленного на её преодоление или вывод из строя. В нашем случае выход из строя одного из средств (способов) защиты приводит к отказу всего компонента в целом. Каждое из направлений не может функционировать вне зависимости от работоспособности трех других. Отсюда можно сделать вывод, что все четыре направления организационных мер защиты информации, как одного из компонентов СЗИ в целом на схеме ее надежности должны быть соединены последовательно (рис.1).
Тогда вероятность безотказной работы ОК СЗИ:
' . ■' _ ■' ' ■ : ■ ' ■ , (1) где /’рдб —вероятность безотказной работы ОК СЗИ;
^нпозИр ^СПО'^ОРП Рзри —вероятности безотказной работы соответствующих направлений ОК СЗИ: нормативного правового обеспечения, сертифицированного программного обеспечения, организации работы с персоналом, организации работы с информацией.
Рассмотрим подробно состав каждого из способов защиты и построим схему надежности ОК СЗИ с учетом декомпозиции (рис. 2).
Под отказом в теории надежности понимается событие, заключающееся в нарушении работоспособного состояния объекта или выхода функциональных параметров за допустимый диапазон значений [2]. Применяя данное определение к СЗИ, термин «отказ» можно трактовать как возникновение уязвимости в СЗИ в виде хотя бы одного канала утечки информации или появление возможности преодоления СЗИ злоумышленником.
Рассмотрим причины и механизмы возникновения отказа в различных подсистемах ОК СЗИ.
Применительно к нормативному правовому обеспечению защиты информации к таким причинам можно отнести:
- отсутствие утвержденной политики безопасности организации, разработанной в соответствии с требованиями регуляторов в области информационной безопасности;
- устаревание и нерегулярный мониторинг актуальности действующих НПА на международном, государственном и других уровнях;
- необоснованно долгие сроки вступления в силу вновь изданных (принятых) НП А и начало работы по новым требованиям и др.
Так как при выходе из строя хотя бы одной из составляющих частей данной подсистемы ОК СЗИ вероятность НСД к информации увеличится, но не приведет к отказу всей системы в целом, и каждая часть системы может функционировать вне зависимости от других, обеспечивая требуемый уровень защиты, то можно сделать вывод что все части рассмотренной подсистемы ОК СЗИ должны быть соединены параллельно (рис. 2).
Рис. 2. Схема надежности организационного компонента системы защиты
информации и его подсистем
Вероятность безотказной работы данной подсистемы:
где /'пБ' ^Аднть ^млнпАн ^рнпа* ^внпа _ вероятности отказа составляющих частей данного
компонента в соответствии с рис. 2.
Очевидно, что все сомножители в (2) зависят от времени, причем на качественном уровне — сходно. Примерный вид зависимости от времени вероятности отказа рассматриваемой подсистемы показан на рис. 3.
Рис. 3. Вероятность отказа подсистемы нормативного правового обеспечения защиты
информации
За основу построения графика на рис. 3 взята классическая корытообразная кривая интенсивности отказов технических средств или радиокомпонентов [3], которую мы представили суммой графиков зависимостей:
“ ■■ М. :| ■ ■ . '■ . , где
■1Т
"н::.: ■' : : (3)
характеризует вероятность отказа системы при внедрении новой нормативно-правовой базы. Относительно большие значения ^(0 на начальном участке обусловлены тем, что в начале внедрения механизм реализации новых НПА недостаточно отработан, основные положения еще недостаточно изучены и восприняты всем персоналом, работающим в организации, и т.д.
В правой части выражения (3): Т1 — характерное время «приработки» нормативно- правовой базы, характеризующееся сроками изучения и внедрения в практическую деятельность НПА персоналом среднего уровня квалификации; ^ОО —коэффициент, отражающий квалификацию и мотивацию персонала.
Количественно 1\ может определяться как время, за которое ^(0 уменьшается в е раз при '/= 1.
Функция
'Г
ГНПОЛ (0 = ?02 ' с , (4)
описывает возрастание вероятности отказа системы при моральном устаревании нормативных правовых актов, регламентирующих политику безопасности организации. Этот процесс неизбежен при современном темпе технического развития, следствием которого является изменение задач обрабатываемой информации на контролируемом отрезке времени, что требует регулярного совершенствования политики информационной безопасности и её нормативной базы.
Здесь Т2 — характерное время устаревания нормативно-правовой базы, обусловленное изменением внешних правовых, технических и социально-экономических факторов; 72С0 —коэффициент, характеризующий интенсивность отказов системы вследствие утраты актуальности действующих НПА и зависящий от квалификации персонала в области нормативно-правового регулирования и структуры нормативного контроля в организации.
Для упрощения анализа на относительно коротком временном отрезке (^ ~ Т1) можно полагать /^(0 и независящими от времени, если в пределах обе эти
функции не претерпевают скачкообразных изменений.
Кривая на рис. 3 является упрощенной моделью, т. к. не учитывает модернизацию и актуализацию нормативно-правового обеспечения защиты информации, например, за счет ввода новых НПА и доработки уже существующих документов. Данные процессы могут быть описаны выражениями
А. 1 0 ~~ ° и — 7изм1 ) ' [(^З.СТ'цз.м! )) ' Г112У1) — ЛР1) + Р? )], (5)
Р2 (7щн2 '0 — о (Г — Т;12;.|2) ■ [(^ 1С1)) 1 ) — &Р2) + Р? (6)
и т.д. вплоть до некоторого Рц': г). Здесь ^изи1, ^изм2^ , ^иямл —времена внесе-
ния изменений в НПА, АР], ]=1,..., п — величины, характеризующие ожидания от вне-
дрения]-го нормативного правового акта, — функция Хэвисайда [4].
■гг
■"гУ- ■: ' , (7)
по аналогии с (3) и (4).
График, иллюстрирующий эти процессы, показан на рис. 4, а скорректированное выражение для вероятности отказа подсистемы нормативного правового обеспечения защиты информации:
■ ■ - ■ - _ ■ ■ (9)
Рис. 4. Вероятность отказа подсистемы нормативно-правового обеспечения защиты информации при периодическом обновлении НПА
Пунктиром на рис. 4 показан приемлемый (допустимый) уровень вероятности
отказа.
Как видно из графика на рис. 4, регулярные своевременные (до превышения .■ ."[¡I приемлемого уровня)изменения нормативной базы обеспечивают под-
держание требуемого уровня надежности подсистемы.
Применительно к механизму отказов СПО причинами отказа (деградации) будут : нерегулярное обновление антивирусных баз, версий операционных систем и прикладного программного обеспечения, использование в работе несертифицированного программного обеспечения, ошибки инсталляции программ, нерегулярная или некорректная чистка реестров системы, нерегулярное удаление временных файлов прикладного программного обеспечения.
По аналогии с (2)
^СШ = 1 - ^СИОоти (10)
Рассмотрим случай, когда надежность СПО может быть охарактеризована посредством экспертизы:
/ Шпдпл\ К 11|"пл _ .
(11)
' ' ф:ю
где К^фпОр Кцспо — соответственно экспертные оценки вероятности отказов сертифицированного и несертифицированного программного обеспечения, используемого на объекте, Фнспо и Фпо - объем несертифицированного программного обеспечения и общий объём программного обеспечения соответственно.
Зависимость вероятности отказа СПО от времени:
СИОоти'
СІГОотк
Пі; Є~ ті
а-г -+ Є ті
(12)
где A характеризует различные внутрисистемные факторы, обычно эргатической природы, влияющие на эффективность работы программного обеспечения; а1 количественно отражает ошибки применения СПО на этапе его освоения, а также внедрения новых версий программных продуктов и т.д.; а2 определяет устаревание компьютеров по отношению к программному обеспечению (системным требованиям), деградацию и моральное устаревание СПО.
График временной зависимости (12) аналогичен рис. 3.
Поддержание ^сшотаСО ниже допустимого уровня обеспечивается регулярным обновлением СПО. По аналогии с (5) дляj-гo из т обновлений
(13)
р;
-О - -гпбИі) [-4
У
'юни I ‘'--пи]
где 7’о(;н , —время ввода в работу нового программного обеспечения,
_ ш-г
СОК )
,
(14)
Ы^-б-чО - елт<*4 .
Наряду с обновлением СПО уменьшению ^сшотжI
(15)
способствует профилактическая работа системного администратора по переустановке операционной системы, прикладного программного обеспечения и утилит, дефрагментации логических дисков, очистке реестров и удалению неиспользуемых файлов и программ.
Этот процесс может быть отображен на графике ступенчатой функцией:
где Qk характеризует степень положительного воздействия к-го профилактического мероприятия.
Процессы, описываемые (13) и (16) графически представлены на рис. 5, а вероятность отказа СПО с их учетом:
□ Шаткі
= РепоСО) ■А
е
"¿17 ■ Є т2
Применительно к механизму ОРП под отказом понимается: недостаточно высокий уровень требований к персоналу при приёме на работу, низкий уровень квалификации работников, либо нерегулярное её повышение, отсутствие инструктажей перед началом проведения работ и др.
Рис. 5. Вероятность отказа подсистемы СПО при периодическом обновлении
программного обеспечения
Приближенная статическая математическая модель отказа ОРП:
Рцрл (0) 1 — Рсрп(О) 'о~ ^7)
, о-ГК и. 1’0- ’
где Уц, ^Ьл — объем персонала, прошедшего проверочные испытания и общий объем персонала соответственно, Кш,К11Н —экспертные оценки надежности персонала, соответственно прошедшего и непрошедшего проверочные испытания, пересчитанные в вероятность отказа СЗИ по его вине.
Зависимость вероятности отказа ОРП от времени:
^И'Потя (0 ~ РОР11отк С®) ' В
(18)
Здесь В характеризует квалификацию персонала, соответствие занимаемой должности и т.п.; га1 отражает проблемы в работе подсистемы ОРП при приеме на работу новых сотрудников, назначении на другую должность и т.п.; о>2 — количественный параметр, обусловленный необходимостью периодического повышения уровня квалификации сотрудников.
Уменьшению Рси'НоткСО способствует своевременное повышение квалификации персоналом. Для /-го факта такого рода:
^¡СТпк*;0 = -^-^-'гш), (19)
где V характеризует степень положительного эффекта от повышения квалификации.
При систематическом повышении квалификации персоналом, контроле со стороны руководства, своевременном приеме зачетов усредненное значение Ли'Пот*(0 не будет превышать некоторый приемлемый (критический) уровень /ЪрГЬтж кр (рис. 6).
Применительно к ОРИ причинами отказов могут быть: несвоевременное обновление перечня защищаемой информации, неправильное отнесение информации к разряду защищаемой, неправильный учет носителей защищаемой информации, утрата носителей защищаемой информации и т.д.
Вероятность отказа ОРИ в произвольный момент в;
Р01'И»тк(г) = 1 РОРи(т) = ^ОРИстнС0) ' С '
эемени:
1(|1 Г 1^2*
~~ } ?
(20)
где
о _ гитхКкии+ гии-2кн[]>н*ш /01Ч
- -------------------------------, (21)
^ ни
■ . м.: — объем корректно учтенных носителей информации и общий объем носителей информации соответственно; Ккни,Кни — экспертные оценки вероятности отказа корректно и некорректно учтенных носителей информации соответственно; С — коэффициент, характеризующий различные субъективные факторы, влияющие на корректность работы с различными носителями информации, применение перечней защищаемой информации на практике и т.д., например, традиционного или преемственного характера; '■ 1 отражает проблемы в работе подсистемы ОРИ при изменении и дополнении перечней защищаемой информации, изменении состава персонала, работающего с защищаемой информацией (например, после организационно-штатных мероприятий); ¡^2 количественное отражение необходимости своевременной корректировки перечня защищаемой информации, периодической ревизии всего объема информации, циркулирующей на объекте, с целью определения уровня корректности работы с ней персонала.
Рис. 6. Вероятность отказа подсистемы ОРП при периодическом обновлении
программного обеспечения
Уменьшение РоШоткСО за счет своевременных профилактических мер по корректировке перечней защищаемой информации, проведению разъяснительной работы с персоналом, приему у него зачетов по знанию документов, регламентирующих порядок работы с защищаемой информацией и т.д., может быть представлено в виде:
. , (22)
где У к — оценка положительного воздействия профилактических мер.
При систематическом проведении профилактических мероприятий ^огиогеСО не будет превышать критическое значение аналогично ^и'ИотжСО на рис. 6.
Таким образом, организационный компонент системы защиты информации какого-либо объекта информатизации с помощью декомпозиции можно представить четырьмя подсистемами. Зависимости от времени вероятностей отказов выделенных подсистем ОК СЗИ: НПОЗИ, СПО, ОРП и ОРИ описываются идентично суммированием убывающей и возрастающей экспонент (рис. 3). Однако смысл и способы определения коэффициентов в показателях экспонент для вероятности отказа каждой подсистемы ОК СЗИ различны. Имеются различия и в описании воздействий на подсистемы с целью поддержания приемлемого уровня их надежности (рис. 4, 5, 6). Тем не менее, есть основания утверждать, что вероятности отказов всех декомпозиционно выделенных компонентов ОК СЗИ как наиболее универсальных характеристик их надежности могут быть описаны одинаковым простым математическим аппаратом. Это позволяет существенно упростить оценки надежности организационного компонента и системы защиты информации в целом. На первый взгляд, не возникает трудностей с определением коэффициентов в выражениях (3)—(8) и (11)—(22). Временные параметры в знаменателях показателей экспонент и некоторые коэффициенты в числителе (например, Юг, у2) могут определяться разработчиком СЗИ или нормативными документами по ее эксплуатации и им подобными. Предполагается, что оставшаяся часть коэффициентов может быть установлена по экспертным оценкам.
В настоящее время теория надёжности технических систем разработана достаточно хорошо. Применение основных положений, терминов и определений теории надёжности технических систем в информационной безопасности открывает большие возможности для разработки моделей СЗИ, повышения достоверности оценок характеристик надёжности СЗИ и их отдельных компонентов, в особенности тех, на которые классические подходы теории надёжности технических систем ранее не распространялись. Предложенные нами модели надежности организационного компонента СЗИ и его подсистем показывают, что применение к системам защиты информации методов прогнозирования и оценки надежности технических систем расширяет базу для создания алгоритмов и методик анализа надёжности СЗИ, выбора эксплуатационных показателей их качества.
ЛИТЕРАТУРА
1. Баранова А.В., Ямпурин Н.П. Основы надежности электронных средств. — М.: Академия, 2010. — 234 с.
2. Острейковский В. А. Теория надежности. — М.: Высшая школа, 2003. — 457 с.
3. Бриндли К. Измерительные преобразователи: справочное пособие: пер. с англ.
— М.: Энергоатомиздат, 1991. — 144 с.
4. Баскаков С.И. Радиотехнические цепи и сигналы: учеб. для вузов по спец. «Радиотехника». — 3-е изд., перераб. и доп. — М.: Высшая школа, 2000. — 462 с.: ил.
