CC BY
138
6. Путивцев М. Е., Баранник А. А. Модель проведения сертификации по стандарту ISO\IEC 17799 с использованием процессного подхода. - Таганрог: Технологический институт ЮФУ, 2007.
7. Что такое RACI model? Источник: http://www.12manage.com/methods_raci_ru.html УДК 681.324
И.В. Машкина, С.Н. Алекса
РАЗРАБОТКА МЕТОДА И ФУНКЦИОНАЛЬНОЙ МОДЕЛИ ЧИСЛЕННОЙ ОЦЕНКИ РИСКА НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ НА ОСНОВЕ ВЕРОЯТНОСТНО-СТАТИЧЕСКОГО ПОДХОДА*
Адекватный научно-методологический базис должен содержать количественные методы анализа и синтеза систем защиты и управления ими в процессе функционирования. Потому одним из основных положений унифицированной концепции защиты [1] является требование научно обоснованного подхода к оценке, желательно в количественном выражении, требуемого уровня защищенности (риска) на объекте защиты в изменяющихся условиях его функционирования.
Процесс оценивания величины риска нарушения информационной безопасности (ИБ) при проектировании системы защиты информации (СЗИ) включает в себя: определение ценности ресурсов, изучение угроз и уязвимостей, выбор параметров для их описания и получение оценок вероятностей по этим параметрам, оценок теоретической эффективности контрмер и ожидаемого ущерба, определение его приемлемости.
В процессе анализа и оценивания рисков устанавливается степень адекватности используемых или планируемых наборов средств защиты (СрЗ) существующим угрозам. Свойство защищенности информации каждого СрЗ, входящего в СЗИ, в совокупности определяет защищенность информации в СЗИ в целом.
Наличие уязвимости СрЗ может привести к нарушению защищенности, т. е. осуществлению угрозы. При решении задач защиты информации первостепенное значение имеет количественная оценка ее уязвимости. Поскольку воздействие на информацию различных факторов в значительной мере является случайным, то в качестве количественной меры ее уязвимости наиболее целесообразно применить
вероятность нарушения защищенности информации Pдт .
Неясность способа определения значений вероятностей угроз и уязвимостей является основной проблемой при получении количественной оценки риска нарушения ИБ. Известно, что применение методов классической теории вероятностей допустимо при повторяемости опытов и одинаковости условий. Это требование в сложных системах, какими являются СЗИ, обычно не выполняется.
Значение показателя СрЗ защищенности информации Pбт, - это субъективная вероятность обнаружения и блокирования СрЗ несанкционированных действий, т. е. теоретическая ожидаемая эффективность барьера.
Очевидно, вероятность нарушения защищенности P^ дополняет Pбт до единицы т.е.
*Работа выполнена при поддержке гранта РФФИ №08-08-97035.
(1)
где Pдт - вероятность нарушения защищенности информации, или вероятность
уязвимости m-го СрЗ (вероятность преодоления барьера).
Методы оценивания СрЗ разделяются на качественные и количественные. Качественные методы используются на начальных этапах моделирования. С этой целью была разработана система иерархических критериев качества СрЗ, относящихся к следующим функциональным подсистемам: VPN, МСЭ. IDS, антивирусная защита, сетевой контроль доступа, обнаружение вторжений на хосте, разграничение доступа, резервное копирование и др.
В работе решается задача получения численной оценки обобщенного показателя качества СрЗ. Численное оценивание заключается в сопоставлении обобщенному показателю качества СрЗ защищенности информации - одного числа. Эта задача может быть решена с помощью экспертов. При этом оценка значений субъективных вероятностей P6m, должна быть свободна от произвола. Частные показатели защищенности должны иметь ясный физический смысл и быть взаимосвязанными. Поэтому особенностью предлагаемого в работе подхода является получение численных оценок субъективных вероятностей P6M на основе объективных технических характеристик и возможностей СрЗ, декларируемых их разработчиками.
В настоящее время все чаще для получения решений в области ИБ используется математический аппарат нечетких множеств. В работе рассматривается использование аппарата нечетких множеств для получения численной оценки обобщенного показателя качества СрЗ - защищенность информации.
Функции принадлежности (ФП) были сформированы для оценки СрЗ по каждому критерию нижнего иерархического уровня. Использовались известные методы построения ФП, основанные на формализации и интеграции нечетких данных, сформированных экспертом в процессе оценивания параметров реальных СрЗ. Сформулированы соответствующие продукционные правила, позволяющие обрабатывать сложные соединения.
Достоинство способа - относительно высокая объективность. Субъективные моменты в оценку полезности хотя и вносятся, но не прямо, как при других способах, а косвенным образом.
В вероятностно-статическом подходе не учитывается динамика изменения значений вероятностей угроз и уязвимостей во времени, оцениваются априорные ожидаемые значения вероятностей нарушения защищенности информации.
Предлагаемый метод оценивания уровня защищенности объекта защиты (ОЗ) базируется на трехрубежной модели СЗИ, описанной в [2].
Известно, что уровень защищенности и относительный риск дополняют друг друга до единицы. Будем рассчитывать уровень защищенности п по формуле [З]:
где Я — относительный риск нарушения ИБ, С8 - доля стоимости защищаемых информационных ресурсов в сегменте, 8 - номер сегмента, 8 - число сегментов,
(2)
P - результирующая вероятность угроз информационной среде сегмента, C„ s ^
С_
суммарный неприемлемый ущерб, —— — коэффициент опасности совокупности
СЕ
угроз в Б-м сегменте, определяемый как доля стоимости защищаемой информации
ОЗ, обрабатываемой в сегменте.
Таким образом, для оценки уровня защищенности требуется количественная оценка вероятностей реализации каналов несанкционированного доступа.
Приведем возможный вариант математического анализа ИБ ОЗ, который представляет собой сегментированную сеть, для случая, когда в разных сегментах обрабатывается информация различной степени важности (критичности).
Общее выражение для вероятности нарушения защищенности подмножеством нарушителей {К’} по подмножеству представляющих интерес каналов несанкционированного получения информации {Г} для сегмента б имеет вид [1]:
'»к}=1 -ПО - РИ) )П(1 - РЦ)). (3)
Обозначим р£)внш - вероятность несанкционированного получения информации, обрабатываемой в Б-м сегменте, внешним нарушителем, считая, что на ОЗ есть точки выхода из системы в глобальную сеть, внешние выделенные каналы
связи, т. е. возможны удаленные атаки через периметр; Р^6 )вн - вероятность нарушения конфиденциальности информации, обрабатываемой в Б-м сегменте, внутренним нарушителем.
Тогда
р,, = р., ,р,5 *, = р,», (4)
С учетом принятой трехрубежной модели защиты р,)внш может быть определена по формуле
р^внш = 1 -П (1 - рвнш), (5)
1=1
где р*нш — вероятность нарушения конфиденциальности информации, обрабатываемой к Б-м сегменте, внешним нарушителем в случае преодоления соответст-
внш р]к1
поэтому определяется зависимостью
р внш = р # # #
Б,кI Бк I А Б,к I 1 Б,
вующего рубежа защиты (РЗ) 1. Вероятность Р®™ зависит от четырех факторов,
рвнш _рд рн рк ри
Р8ІкІ _Р*кІ ' РяікІ '^І/ '^ІІ’ (6)
где Рдк / — вероятность попытки доступа злоумышленника или внешнего нарушителя к 1-му РЗ (границе сети - периметру, границе сегмента, к хосту), принимается в расчетах равной 1; Р^ / - вероятность преодоления злоумышленником или
внешним нарушителем 1-го РЗ; Р^ - вероятность проявления канала связи б-го сегмента на РЗ 1 , зависит от технологии обработки информации на ОЗ; Р“г - вероятность наличия защищаемой информации б-го сегмента на 1-м РЗ в момент доступа, зависит от технологии обработки информации на ОЗ.
Внутренний нарушитель в процессе реализации каналов несанкционированного доступа должен преодолеть два РЗ.
Тогда вероятность несанкционированного получения информации, обрабатываемой в сегменте б внутренним нарушителем, может быть вычислена по формуле
рГб>н = ! _П (1 _ р-; , (7)
1=1
где
рвн _ рд рн рк ри
Psjl _ Psl ■ Psjl ■ Psjl ■ Psjl ,
(8)
где Р.Д - вероятность попытки доступа внутреннего нарушителя к соответствующему РЗ 1, принимается в расчетах равной 1; Р^ — вероятность доступа внутреннего нарушителя к каналу связи s-го сегмента, равная вероятности преодоления барьеров на РЗ 1; PSj — вероятность проявления канала связи на РЗ; Pjj — вероятность наличия защищаемой информации s-го сегмента на РЗ в момент доступа нарушителя.
Количественная оценка уязвимости СрЗ имеет первостепенное значениё в практических расчетах. В качестве количественной меры уязвимости наиболее целесообразно принять вероятность нарушения защищенности. Из перечисленных вероятностей, входящих в формулу для расчета вероятностей нарушения конфиденциальности Р™ и Ps™ , одна из вероятностей, а именно Pj{ (Р^ ), зависит
от качества используемых в системе СрЗ и количества барьеров на РЗ.
Если нарушителю необходимо преодолеть М барьеров па РЗ, то вероятность его удачной атаки определяется как произведение:
M
р^ =Прн» , (9)
m=1
где Рбт — вероятность преодоления m-го барьера, или вероятность (уровень) уязвимости СрЗ.
С учетом (1) перепишем соотношение (9) в виде
M
PSIk I =П (1 - Рб m ) (10)
m=1
Оценив значения вероятностей Рб m - показатель защищенности информации
каждого СрЗ, можно будет оценить граничные значения вероятностей реализации каналов несанкционированного доступа.
Таким образом, сущность метода сводится к реализации алгоритма:
1. Для каждого сегмента составляются списки путей угроз в соответствии с принятой политикой безопасности и числом точек входа в систему.
2. Задаются численные значения ценности информационных активов в сегментах Cs.
3. Вычисляются с использованием механизма нечеткой логики показатели «защищенность информации» Рб m для каждого m-го СрЗ, установленного на периметре, границах сегментов, на хостах.
4. Вычисляются и/или задаются вероятности Р,дl, PSf, Pjl, Р|г, PSj, Pj
для каждого РЗ, причем Pj l (P^) - вероятность преодоления барьеров на РЗ вычисляется в зависимости от числа СрЗ на рубеже по формуле (10).
5. Вычисляются вероятности для каждого из трех РЗ PsB™ и Pj по формулам (6) и (8).
6. Вычисляются базовые вероятности несанкционированного получения информации, обрабатываемой в s-м сегменте, внешним нарушителем, реализующим удаленную атаку, или внутренним нарушителем, реализующим межсегментную
атаку, Psj/)внш и Psj/)вн соответственно по формулам (5) и (7).
7. Вычисляется общее выражение для вероятности нарушения защищенности s-го сегмента подмножеством нарушителей {K’} по подмножеству каналов {J’} несанкционированного получения информации по формуле (З).
8. Вычисляется уровень защищенности на ОЗ по формуле (2).
На рис. 1-4 представлены разработанные IDEFO-диаграммы модели оценивания рисков нарушения ИБ.
В настоящее время все большую популярность приобретают инженерные методы исследования на основе современных информационных технологий. В данной работе сделана попытка расширить спектр компьютеризованных инструментальных методов анализа с использованием технологии IDEF0 на процесс оценивания риска нарушения ИБ на объекте информатизации.
Разработка моделей оценки риска нарушения ИБ в стандарте IDEF0 позволяет наглядно и эффективно отобразить весь механизм оценивания в нужном разрезе.
Реализация процессов, отображаемых моделью, осуществляется с помощью автоматизированной системы, в которой реализован разработанный метод, экспертов в области ИБ, а также инструментария Fuzzy Toolbox программного продукта Matlab.
Сведение о планируемых рациональных наборах СрЗ для точек установки
Сведения об объектах атак и источниках угроз
Методика
расчета
Прогнозировать (рассчитывать ожидаемое значение риска нарушения ИБ ИА)
Инструментарий нечеткой логики Fuzzy Toolbox программного продукта Matlab
Эксперты
Прогнозируемое значение риска
АС
Л-0
Прогнозировать (рассчитывать ожидаемое значение риска нарушения ИЬ И А)
х
Рис. 1. Контекстная диаграмма ЮЕЕО- модели оценивания риска нарушения ИБ
ЛО
Прогнозировать (рассчитывать ожидаемое значение риска нарушения ИЬ ИА)
Рис. 2. Результат декомпозиции контекстной диаграммы
Методика расчета
Формировать систему иерархических критериев качества СрЗ
Сведение о планируемых рациональных наборах СрЗ для точек установки
Эксперты
Наиболее значимые технические характеристик^ СрЗ
Данные о СрЗ
Оценивать СрЗ по критериям качества
____________2
Термы
лингвистических переменных, характеризующи; СрЗ
Строить функции принадлежности для оценивания показателя СрЗ "Защищенность информации"
Инструментарий нечеткой логики Fuzzy Toolbox программного -S'" продукта Matlab
Вероятность обнаружения и блокирования СрЗ несанкционированных ^ действий
Дефаззифици-ровать показатель СрЗ "Защищенность информации" по методу среднего из максимумов
Л1
Рассчитывать показатель СрЗ "Защищенность информации"
Рис. 3. Результат декомпозиции функционального блока «Рассчитывать показатель средств защиты «Защищенность информации»
Вероятность обнаружения и блокирования СрЗ несанкционированных действий
Методика расчета
\
Рассчитывать
вероятность
нарушения
защищенности
информации
Сведения о точках установки СрЗ
Сведения о бщнес-процессах
Сведения о топологии сети
Сведения об объектах атак и источниках угроз
Вероятность
уязвимости
03
Рассчитывать вероятность преодоления всех барьеров на рубеже защиты
Рассчитывать вероятность нарушения ИБ в случае преодоления рубежа защиты
Базовое
значение
вероятности
Рассчитывать вероятность нарушения ИБ с учетом всех рубежей защиты
Результирующая
вероятность
угроз
информационной среде сегмента
Расчет вероятности реализации всех каналов в сегменте всеми категориями нарушителей
Эксперты
А2
Рассчитывать вероятность нарушения ИЬ в сегменте подмножеством нарушителей по
_Г
подмножеству каналов
Рис.4. Результат декомпозиции функционального блока «Рассчитывать вероятность реализации каждого канала НСДУВ в сегменте»
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Малюк А.А. Информационная безопасность и методологические основы защиты информации: Учеб. пос. для вузов. - М.: Горячая линия - Телеком, 2004. - 280 с.
2. Машкина И.В., Васильев В.И., Рахимов Е.А. Проектирование системы защиты информации объекта информатизация // Информационные технологии. 2006. 21. 10. - С. 17 -26.
3. Мирошников В.В. Методический подход к оценке эффективности способов защиты информации в среде распространения сигналов глобальной вычислительной сети II Известия ТРТУ. Тематический выпуск: Материалы УИ Международной научно-практической конференции «Информационная безопасность». - Таганрог, 2005. - М., - №4 (48). - 250 с.
