МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ...
УДК 004.891.2
В. И. Васильев, Н. В. Белков
СИСТЕМА ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Рассмотрены основные этапы создания системы поддержки принятия решений (СППР) по обеспечению безопасности персональных данных. Изложен подход к формированию базы знаний на основе правил и прецедентов с использованием онтологического анализа предметной области. Предлагается методика оценки эффективности принятых решений и анализа рисков информационной безопасности персональных данных. Системы поддержки принятия решений; системы вывода по правилам; системы вывода по прецедентам; онтологический анализ; анализ рисков
Федеральный закон «О персональных данных» был принят в Российской Федерации в июле 2006 года [1]. Появление данного закона, а также ряда подзаконных нормативных актов, вызвало резонанс в обществе. Проблема обеспечения безопасности персональных данных стала одной из самых обсуждаемых на различных профессиональных уровнях: управленческом,
кадровом, юридическом и, конечно же, информационном. Об этом красноречиво свидетельствует количество проводимых в последние годы семинаров и конференций по данной тематике, а также всевозможных обучающих курсов для сотрудников организаций. Сложившаяся ситуация обусловлена особенностями обеспечения безопасности персональных данных в РФ.
АКТУАЛЬНОСТЬ ИССЛЕДОВАНИЯ
Область защиты персональных данных в Российской Федерации характеризуется рядом особенностей.
Во-первых, обширная сфера деятельности законодательства. Установленные требования обязательны для выполнения всеми операторами, т. е. организациями, осуществляющими обработку персональных данных. Учитывая, что ведение кадрового и бухгалтерского учета является неотъемлемой частью деятельности практически любого хозяйствующего субъекта, число операторов персональных данных достигает нескольких миллионов.
Во-вторых, нехватка квалифицированного персонала. Сравнительно небольшое число организаций всерьез подходит к проблеме обеспечения информационной безопасности, а значит, имеет в своем распоряжении соответствующие подразделения или специалистов. В то же время, только специалист в области информацион-
Контактная информация: (347)273-06-72
ной безопасности может разработать систему защиты, адекватную имеющимся угрозам безопасности.
В-третьих, несовершенство имеющейся
нормативно-методической базы. Недостаточная проработанность, а зачастую и противоречивость положений принятых нормативных и методических документов затрудняет понимание требований и реализацию необходимых мероприятий. Кроме того, имеющиеся документы не затрагивают ряд важных мероприятий, таких как анализ рисков.
Таким образом, организации, приступающие к реализации мероприятий по защите персональных данных и не имеющие в своем штате специалистов по информационной безопасности, вынуждены либо направлять сотрудников на специализированные курсы, либо привлекать организации, оказывающие соответствующие услуги.
Курсы, как правило, длятся не более 5-7 дней, посвящены по большей части обзору законодательства и предоставляют лишь общие сведения о принципах и методах обеспечения информационной безопасности. Даже после обучения качественное выполнение всех необходимых мероприятий является для сотрудников трудновыполнимой задачей, требующей тщательного изучения предметной области. Привлечение сторонних организаций требует значительных материальных затрат, которые для крупных организаций исчисляются сотнями тысяч рублей.
Обеспечение безопасности персональных данных не разовое мероприятие, а непрерывный процесс, поэтому систему защиты необходимо постоянно поддерживать в актуальном состоянии. Среда, в которой осуществляется эксплуатация системы защиты персональных данных (СЗПДн), не является стационарной, поскольку со временем могут измениться:
• состав обрабатываемых персональных данных;
• организационная структура;
• бизнес-процессы;
• вычислительная сеть и др.
При внесении изменений в информационную систему необходимо проводить соответствующую корректировку параметров системы защиты, иначе ее эффективность значительно снижается или сводится на нет. Модификация системы защиты должна проводиться с привлечением специалистов.
Таким образом, в процессе формирования и эксплуатации системы защиты персональных данных необходимо принимать решения, требующие от лица, принимающего решения (ЛПР), знаний в области информационной безопасности, а также достоверных сведений об информационной системе, бизнес-процессах и информационных потоках в организации. Неверно принятое решение может привести к значительным финансовым потерям.
Вследствие этого, одной из ключевых задач является поддержка принятия решений для обеспечения достаточного уровня защищенности персональных данных.
МЕТОДИКА РАЗРАБОТКИ СИСТЕМЫ
ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ
Общая схема этапов разработки системы поддержки принятия решений (СППР) представлена на рис. 1.
Этап идентификации задач СППР является предварительным, подготовительным этапом разработки системы. На данном этапе определяются основные задачи, которые должна решать СППР, ее функции и общая структура. Также на данном этапе осуществляется сбор и накопление документации, которая содержит информацию о предметной области, используемую в процессе принятия решений [2].
На этапе моделирования предметной области осуществляется построение комплекса системных моделей с использованием структурного подхода.
На этапе формирования информационного пространства представления знаний проводится онтологический и семантический анализ процессов создания системы защиты персональных данных.
Разрабатываемая СППР является интеллектуальной информационной системой, поэтому одним из основных этапов является этап разработки базы знаний. На данном этапе проводится определение прецедентов и правил поддерж-
ки принятия решений, а также формирование и подготовка необходимого набора данных и знаний [2].
Рис. 1. Этапы разработки СППР
Реализация системы поддержки принятия решений подразумевает написание программного кода, а также физическое наполнение базы знаний. На этом же этапе осуществляется реализация прототипов системы.
На заключительном этапе производится оценка эффективности построенной СППР.
ИДЕНТИФИКАЦИЯ ЗАДАЧ СППР ПРИ ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В результате анализа процессов обеспечения безопасности персональных данных были определены основные задачи системы поддержки принятия решений. Можно выделить три основных задачи, решаемые СППР:
• накопление и систематизация сведений об информационной системе, в которой осуществляется обработка персональных данных;
• поддержка принятия решений (ППР) при проектировании системы защиты персональных данных;
• поддержка принятия решений при эксплуатации системы защиты персональных данных.
Каждая из выделенных задач, в свою очередь, может быть разложена на несколько подзадач. Так, в рамках задачи поддержки принятия
решений при проектировании необходимо решение следующих подзадач: ППР при выделении и классификации информационных систем персональных данных (ИСПДн); ППР при определении угроз безопасности персональных данных и степени их актуальности; ППР при определении необходимых средств защиты; проведение анализа рисков.
Общая структура СППР, отображающая наиболее общие принципы ее работы, представлена на рис. 2.
Работа с СППР осуществляется следующим образом. ЛПР вводит в СППР сведения, касающиеся изменений в информационной системе, и формирует запрос на получение рекомендаций либо проведение анализа рисков. На основе полученных сведений СППР определяет, каким образом изменения сказались на структуре ИСПДн, угрозах безопасности персональных данных (УБПДн) либо используемых средствах защиты, и формирует соответствующие рекомендации. Если предложенные рекомендации утверждаются ЛПР, то изменения вносятся в базу данных.
Для формирования рекомендаций предлагается совместное использование механизмов вы-
вода на основе правил и на основе прецедентов: если решение не удается найти с помощью имеющихся правил, то инициируется поиск схожей ситуации в базе прецедентов. Если же поиск по базе прецедентов не дал результата, то выдается соответствующее сообщение пользователю с предложением сформировать новый прецедент. Таким образом происходит обучение базы знаний.
МОДЕЛИРОВАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ
Системное моделирование является основой процесса создания интеллектуальных информационных систем [3]. Для построения системных моделей использовалась технология структурного анализа и проектирования (SADT) и, в частности, технология IDEF. С ее помощью был построен комплекс функциональных, информационных и динамических моделей.
На рис. 3 представлена функциональная модель IDEF0 на одном из уровней иерархии (рис. 3, а), а также фрагмент информационной модели IDEF1X (рис. 3, б).
Формирование запроса, ввод данных
Выдача
рекомендаций
Интерфейс
пользователя
ЛПР
Ввод сведений об ИС
База данных
Формирование
запроса
Ввод новых знаний
Модуль формирования решений
Выдача
рекомендаций
"V
Вывод на основе правил
Вывод на основе прецедента
Преобразов ание данных
База знаний
Правила
О
Прецеденты
Обучение
СППР
Эксперт
Рис. 2. Общая структура СППР
а
испдн
ТЕХНОЛОГИЯ
ПЕРСОНАЛЬНЫЕ ЛАННЫЕ
Наименование ПДн
КатегорияПДн
Часть
КОМИССИЯ
ФИО_п редседателя ФИ0_члена_1 ФИ0_члена_2 ФИО члена 3
Утверждает
Наименование_ИСПДн Наименование_технологим (РК) Наименование_ПДн (РК)
Имя_РС (РК)
Имя_сервера (РК)
Подразделение (РК) Разграничение_прав_доступа (РК) Режим обработки ПДн (РК)
О бщ и й _объе м_о бр абат ыв а е м ых_П Дн Категормя_обрабатываемых_ПДн Структура_ИСПДн Характери сти ки_безопасности П одкл юч єни е_ИСПДн_к_вн еш ни м_сетям Распол ожение_компонентов * * *
IIIІ О: 11ДІI
Подразделение Использует
ФИО_сатрудника Должно сть_сотрудн и ка
СЕРВЕР
Часть
Имя сервера
Наименование_технологии Разграничение_прав_доступа Режим обработки ПДн_________
Используемое_ПО О брабатываемые_ПДн О бъем_обрабатываемых_техн оп оги ей_ПДн Серверные_узлы Кпиентскиеузлы
Передач а_да нных_по_внешним_каналам Архмтектура_технологии
Определяет
Часть
Домен_сервера
1Р-адрес_сервера
Устанавленнае_серверное_ПО
Роль_сервера
Расположение_сервера
Под ключей ие_сервера_к_внешним_сетям
РАБОЧАЯСТАНЦИЯ
Имя РС
Домен_РС
1Р-адрес_рабочей_станции Установлен ное_клиентскае_ПО Распол ожение_РС П о дкп га ч е ни е_Р С_к_вн еш н и м_сетям
б
Рис.3. Примеры структурных моделей IDEF: а - функциональная модель IDEF0; б - информационная модель IDEF1X
ФОРМИРОВАНИЕ ИНФОРМАЦИОННОГО ПРОСТРАНСТВА ПРЕДСТАВЛЕНИЯ ЗНАНИЙ
В слабоформализованных областях, таких как область защиты персональных данных, недостаточно комплекса системных моделей, так как они не позволяют достаточно полно отразить семантику процессов управления и принятия решений, а также выделить существенные понятия и связи между ними. В таких случаях принято использовать онтологический подход [4]. Онтология служит для обеспечения общего словаря для человека и системы поддержки принятия решений, позволяя, таким образом, им взаимодействовать. Наиболее распространенное определение онтологии, которое дал Том Грубер [5], звучит следующим образом: «Онтология - формальная спецификация разделяемой концептуализации». Концептуализация подразумевает описание множества объектов (понятий), знаний о них и связей между ними.
Компонентами онтологии являются:
• множество понятий предметной области и их атрибутов;
• множество отношений, или ассоциаций между выделенными понятиями;
• множество аксиом и правил вывода, заданных на выделенных понятиях.
Таким образом, модель онтологии [4, 5] можно представить как упорядоченную тройку вида
О = <Т, Я, Е>, (1)
где Т - конечное множество концептов (понятий, терминов) предметной области; Я - конечное множество отношений между концептами; Е - конечное множество аксиом, заданных на концептах.
При этом, если множества Я и Е пустые, т. е. Я = 0 и Е = 0, то онтология О трансформируется в словарь (V):
V = <Т>.
Если же пустое только множество Е, т. е. Я Ф 0, Б = 0, то онтология является тезаурусом (ТИ), состоящим из множества концептов и множества отношений.
ТИ = <Т, Я >.
В случае, если множество Я включает в себя единственный тип отношений «быть элементом класса», то тезаурус становится таксономией, отображающей иерархию понятий.
Приведенная модель онтологии показывает последовательность действий при формировании онтологии. Сначала разрабатывается сло-
варь терминов, затем на полученных терминах (концептах) определяются отношения иерархии, эквивалентности, исключения, формируя таким образом тезаурус. В заключение определяются функции интерпретации (аксиомы).
При разработке словаря терминов было принято решение использовать три источника знаний: системные модели, полученные в результате моделирования; документация области обработки и защиты персональных данных (нормативно-методическая, организационно-
распорядительная, проектно-техническая документация); а также знания экспертов в данной предметной области.
Словарь системных моделей содержит наименования сущностей и их атрибутов.
Для выделения терминов из нормативнометодической и проектно-технической документации производился лингвистический анализ текста при помощи лингвистического процессора «Text Analyst 2.0». Средствами данного программного продукта анализировался каждый исходный документ. В результате были составлены словари терминов. Фрагмент словаря, построенного по результатам анализа методического документа «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [6], представлен в табл. 1. Для каждого термина словаря указывается частота появления термина в анализируемом документе, его вес, показывающий, насколько важную роль играет понятие для смысла всего текста, а также иные термины, наиболее тесно связанные с исходным.
Составленные словари были предоставлены экспертам предметной области для анализа. В результате этого были удалены малозначащие термины, а также добавлены новые, не выделенные из документации в ходе лингвистического анализа и в процессе моделирования. Итоговый словарь является основной составляющей тезауруса и онтологии предметной области. Дальнейшее формирование тезауруса и онтологии осуществляется в программной оболочке «Protege» на языке OWL DL (Ontology Web Language on Description Logic).
Каждый термин из словаря вносится в онтологию в качестве отдельного класса, таким образом, словарь переносится в «Protege». Затем, путем перемещения классов, формируется иерархия понятий, т. е. таксономия, представленная на рис. 4. Понятие, расположенное по дереву классов ниже, связано с родительским понятием отношением наследования «быть элементом класса».
Таблица 1
Т ермин Частота Вес Связанные термины
ИСПДн 259 100 Сеть, ПДн, нарушитель, сеть международного информационного обмена, технические средства, сети связи общего пользования, УБПДн, безопасность
ПДн 120 100 ИСПДн, безопасность, обработка, угроза, УБПДн
Сеть 228 100 ИСПДн, сеть международного информационного обмена, подключение, сеть связи общего пользования, ПДн, нарушитель, хост
Автоматизированное рабочее место 17 99 ПДн, подключение, сеть, сеть международного информационного обмена, сеть связи общего пользования
На следующем шаге между понятиями определяются отношения эквивалентности и исключения. Отношение эквивалентности (синонимии) задается в разделе «Equivalent classes» путем указания всех эквивалентных классов. Так, например, для понятия «Информационная система персональных данных» эквивалентным является понятие «ИСПДн», а для понятия «Идентификатор» - понятие «Код». Отношение исключения задается в разделе «Disjoint classes».
Завершает построение онтологии задание множества аксиом. Аксиомы ассоциируют идентификаторы классов с частичной или полной спецификацией их характеристик, предоставляют информацию о классах, на основании которых можно определить непротиворечивость и осуществить вывод на онтологии [5]. Часть аксиом содержится в самой таксономии, описывающей отношения обобщения. Именно аксиомы отображают правила, сформированные в онтологии [4].
ПОДДЕРЖКА ПРИНЯТИЯ РЕШЕНИЙ НА ОСНОВЕ ПРАВИЛ
В разрабатываемой базе знаний используются две модели представления знаний: в форме правил и в форме прецедентов.
Правила - это способ представления основных знаний предметной области, которые объясняют возникновение тех или иных явлений, дают возможность прогнозировать развитие ситуации, позволяют связывать отдельные объекты реального мира [4]. Правила отображают модель рассуждения эксперта в ситуациях, по которым накоплено достаточно примеров принятия решений. В виде правил представляются знания, логическая система которых упорядочена.
С целью поддержки принятия решений в области обеспечения безопасности персональных данных выделяются следующие категории правил:
• правила принятия решений:
• правила выделения ИСПДн;
• правила классификации ИСПДн;
• правила определения угроз безопасности;
• правила определения актуальности угроз;
• правила выбора мероприятий по защите ПДн.
• правила построения базы знаний;
• правила адаптации прецедентов;
• правила оценки эффективности и анализа рисков.
Наиболее простые правила имеют вид:
Я = <Аі, Л2, ..., Лп; В>, (2)
где Л1..Ап - предпосылки срабатывания правила; В - заключение.
Такое представление правила соответствует продукционной модели. Продукционное правило есть выражение вида: «ЕСЛИ А, ТО В». Левая часть правила (антецедент А) содержит набор предпосылок, правая часть (консеквент В) -заключение правила. Правило срабатывает, если выполняются все предпосылки. Каждая предпосылка А, представляет собой простое выражение «атрибут-значение», построенное с использованием терминов из онтологии предметной области. Между собой предпосылки связываются при помощи элементарных операций И, ИЛИ, НЕ.
Рис. 4. Рабочее окно программы «Protege» со сформированной таксономией
Ниже приведены примеры правил классификации ИСПДн.
R1: Если Число_серверов(ИСПДн) = 0 И Число_РС(ИСПДн) =1, то Структура(ИСПДн) = 'Автономная';
R2: Если ((Число_серверов(ИСПДн) > 1) ИЛИ (Число_РС(ИСПДн) > 1)) И (Переда-ча_по_общим_сетям(ИСПДн) = false), то Струк-тура(ИСПДн) = 'Локальная';
R3: Если ((Число_серверов(ИСПДн) > 1) ИЛИ (Число_РС(ИСПДн) > 1)) И (Переда-ча_по_общим_сетям(ИСПДн) = true), то Струк-тура(ИСПДн) = 'Распределенная'.
Представленные правила применимы в условиях полноты и определенности имеющихся знаний, т. е. когда содержащиеся в них утверждения абсолютно достоверны. Тем не менее, процессу принятия некоторых решений по обеспечению безопасности персональных данных присуща неопределенность.
В случае задачи определения угроз безопасности неопределенность вносится путем введения в правила степеней уверенности. При этом
формулировка правила (2) усложняется и принимает следующий общий вид:
Я = <4Ь ии Аг, и, ..., Л„ ип; Б, ив>, где и, - степень уверенности в предпосылке Л,; иБ - степень уверенности в заключении.
Для расчета степеней уверенности предлагается использовать меру доверия Демпстера-Шефера [7].
При решении задачи определения актуальности угроз наиболее уместным является применение подхода на основе нечеткой логики. Это связано с тем, что при определении степени исходной защищенности, частоты (вероятности) реализации и опасности угроз достаточно сложно определить точные числовые значения. Сформированные нечеткие правила представляют собой импликацию вида:
Если х1 есть А1 И х2 есть Л2 И ... хп есть Лп, ТО у есть Б,
где Л1...Лп, Б - лингвистические переменные; х1...хп - входные переменные; у - выходная переменная.
Пример нечеткого правила:
Если Возможность_реализации_угрозы есть «низкая» И Опасность_угрозы есть «средняя», ТО Актуальность_угрозы есть «неактуальная».
Для реализации детерминированных правил предлагается использовать языки логического программирования, например, Prolog либо Semantic Web Rule Language (SWRL). Формирование нечетких правил осуществляется с помощью нейро-нечетких сетей в среде MATLAB с использованием соответствующего модуля.
ПОДДЕРЖКА ПРИНЯТИЯ РЕШЕНИЙ НА ОСНОВЕ ПРЕЦЕДЕНТОВ
В ситуациях, когда использование базы правил не позволяет получить решение, либо правила еще не сформулированы ввиду отсутствия достаточных примеров принятия решении, применяется база прецедентов [2]. При использовании вывода на основе прецедентов используются знания о предыдущих ситуациях или случаях (прецедентах).
Формальная модель системы вывода, основанного на прецедентах, представлена в виде упорядоченной тройки [2]:
CBR = <Case, Onto, Retr>,
где Case - база прецедентов; Onto - онтология предметной области; Retr - алгоритм поиска прецедентов.
Для организации эффективного поиска в базе важно провести индексацию и классификацию прецедентов. В рассматриваемой СППР база прецедентов используется в задачах выбора мероприятий по защите персональных данных, а также выбора дальнейших действий при изменении информационной системы. По этой причине множество прецедентов Case классифицировано в соответствии с классами подсистем защиты персональных данных (подсистемы разграничения доступа, антивирусной защиты и др.) и классами проблемных ситуаций (изменение организационной структуры, изменение состава обрабатываемых ПДн и др.).
Последовательность основных процедур вывода на основе прецедентов приведена на рис. 5.
Первоначально формируется новый прецедент, описывающий сложившуюся проблемную ситуацию. Создание прецедента осуществляется на основе имеющихся в базе данных сведений об информационной системе в целом, а также об ИСПДн. В случае необходимости сведения уточняются у пользователя. Прецедент должен содержать описание проблемы, принятые для решения проблемы действия и результаты при-
менения решения. Соответственно, прецедент можно представить в виде совокупности следующих объектов [2]:
Casek = <Са8в_патвк, С,, Хк, Бк, Ек>, (3)
где Case_namek - идентификатор прецедента; Сі - класс, к которому относится прецедент; Хк - множество значений признаков, составляющих описание проблемной ситуации и образующих входной вектор; Вк - множество возможных решений, содержащихся в прецеденте; Ек - множество оценок эффективности принятых решений.
Прецеденты представлены в базе знаний в виде отдельных фреймов. Новый прецедент содержит только слоты Case_namek, С, Хк.
Рис. 5. Основные процедуры вывода, основанного на прецедентах
После того, как новый прецедент создан, начинается поиск ближайших прецедентов в данном классе, основанный на аналогии. При этом происходит сравнение вектора признаков текущего прецедента и прецедента из базы.
Для сравнения прецедентов был выбран метод «ближайшего соседа». Недостатком данного метода является низкое быстродействие, однако эксплуатация СППР в режиме дефицита времени не планируется. Кроме того, поиск осуществляется не по всей базе, а только внутри определенного класса, что сокращает затраченное время. При использовании метода «ближайшего соседа» для каждого признака Хк из X1 вычисляется мера сходства, в качестве которой используется взвешенная евклидова метрика:
J
XW (Xk -Xj)2,
(4)
где Хк и X] - значение 1-го признака для к-го и]-го прецедента соответственно; N - общее
i=1
количество параметров для данного класса прецедентов; ю, - вес 1-го признака.
В случае, если признак является качественным либо логическим, его значение нормализуется. Веса признаков определяются экспертами с использованием метода анализа иерархий. Ближайшим является прецедент, метрика которого окажется минимальной.
После того, как ближайший прецедент найден, его решение адаптируется к проблемной ситуации при помощи соответствующих правил. Полученный в результате прецедент после оценки его эффективности заносится в базу знаний. В случае же, если ближайший прецедент найти не удается, то описание проблемной ситуации сохраняется как нерешенный инцидент. Пользователю выдается соответствующее сообщение с предложением найти решение самостоятельно, после чего новый прецедент заносится в базу. Таким образом происходит обучение системы.
ОЦЕНКА ЭФФЕКТИВНОСТИ ПРИНЯТЫХ РЕШЕНИЙ. АНАЛИЗ РИСКОВ
Для проведения оценки эффективности принятых решений и анализа рисков предложена следующая методика.
Наиболее распространенная оценка информационных рисков имеет вид:
Я = р ■ с,
где Я - информационный риск; р - вероятность нарушения информационной безопасности; С -стоимость информационных ресурсов (активов).
При построении системы защиты персональных данных достаточно сложно рассчитать общее значение вероятности нарушения безопасности, но возможно найти значения вероятности реализации отдельных угроз. Соответственно, общее значение риска можно найти как сумму значений рисков от реализации всех угроз:
п п
Я = X К, = IР, ■ Ц , (5)
1=1 1=1
где Я, - информационный риск от реализации 1-й угрозы; Р1 - вероятность реализации 1-й угрозы; Ц - ущерб от реализации 1-й угрозы.
Каждый класс угроз в системе поддержки принятия решений по обеспечению безопасности персональных данных может быть представлен в виде совокупности следующих объектов:
Т = <Т_пате, S, V, Ж, О, А>, (6)
где Т_пате - название класса угроз; S - множество возможных источников угроз данного класса; V - множество возможных уязвимостей, связанных с данным классом угроз; Ж - множество возможных способов реализации угроз данного класса; О - множество возможных объектов воздействия угроз данного класса; А -множество возможных деструктивных действий, оказываемых на ИСПДн при реализации угроз данного класса.
Содержание перечисленных множеств для каждого класса угроз определяется экспертами и содержится в базе знаний.
Множества S, V, О, А для угрозы отдельной ИСПДн составляются путем выбора из множества допустимых для данного класса угроз значений, определенных экспертами, в соответствии со свойствами и условиями функционирования ИСПДн. Множество Ж формируется в зависимости от состава других множеств. При этом множество А состоит из трех подмножеств: А = <АК, Ац, Ад>, где Ак - множество деструктивных действий, направленных на нарушение конфиденциальности ПДн; Ац - множество деструктивных действий, направленных на нарушение целостности ПДн; Ад - множество деструктивных действий, направленных на нарушение доступности ПДн.
Большинство известных методик и программных продуктов анализа рисков предполагают введение значения вероятности реализации угрозы Р1 экспертом, т. е. пользователем системы, на основе каких-либо статистических сведений. В случае анализа угроз безопасности персональных данных подобная статистика на предприятии, как правило, отсутствует. Кроме того, использование статистических сведений не позволяет определить, как изменяется значение при внедрении того или иного механизма защиты. По этой причине предлагается метод вычисления вероятностей на основе сведений, содержащихся в описании угрозы (6).
Ключевым при вычислении вероятности реализации угрозы является множество возможных способов ее реализации Ж. Чем больше возможных способов реализации угрозы, тем выше вероятность того, что злоумышленник попытается реализовать данную угрозу. Как уже было сказано, множество Ж формируется в соответствии с тем, какие возможны источники угрозы, какие уязвимости и объекты присутствуют в ИСПДн. Таким образом, вероятность реализации 1-й угрозы безопасности для конкретной ИСПДн может быть найдена по формуле (7).
I ак ■ Ргк
Р1
т
(7)
где ргк - вероятность успешного использования злоумышленником к-го варианта реализации 1-й угрозы; ак - коэффициент, определяющий степень уверенности в том, что злоумышленник может воспользоваться к-м вариантом реализации 1-й угрозы; т - количество возможных способов реализации 1-й угрозы.
Коэффициенты ак определяются ЛПР на основе имеющейся статистической информации. Если статистическая информация отсутствует, то все варианты реализации угрозы считаются равновероятными; коэффициент ак принимает два возможных значения: ак = 0, если отсутствуют объективные предпосылки для использования рассматриваемого варианта реализации угрозы, и ак = 1, если таковые предпосылки имеются.
Каждый вариант реализации угрозы может быть полностью перекрыт определенным набором мероприятий по защите. При этом вероятность успешного использования варианта реализации угрозы зависит от того, какое количество возможных мероприятий реализовано, и может быть рассчитана по следующей формуле:
ргк =1 -
тг.
тГ,,
(8)
где тгк - число реализованных мероприятий, перекрывающих к-й вариант реализации угрозы; где т4 - общее число мероприятий, перекрывающих к-й вариант реализации угрозы.
Расчет размера ущерба от реализации 1-й угрозы безопасности .-й ИСПДн производится по следующей формуле:
Ц, = (да7' + Ю1 + Ю1 ) ■ С .
I V кон цел пост' I
(9)
где юкон, юцел, Юд|ост - весовые коэффициенты, определяющие насколько критичным является обеспечение конфиденциальности, целостности и доступности в '-й ИСПДн; С' - стоимость информационных ресурсов, содержащихся в '-й ИСПДн.
Значения весовых коэффициентов задаются экспертами для каждого типа ИСПДн и могут быть изменены ЛПР.
Ниже представлен пример расчета значения риска для угрозы «Анализ сетевого трафика».
Для данной угрозы в общем случае определены шесть возможных вариантов реализации Р1-Р6 (т = 6):
Р1: Использование вредоносной программы;
Р2: Внедрение программно-аппаратной закладки;
Р3: Перехват информации, передаваемой по внутренним каналам связи, с использованием уязвимостей протоколов канального уровня;
Р4: Перехват информации, передаваемой по внутренним каналам связи, с использованием уязвимостей протоколов сетевого уровня;
Р5: Перехват информации, передаваемой по внешним каналам связи, с использованием уязвимостей протоколов сетевого уровня;
Р6: Использование уязвимостей прикладного и специального программного обеспечения.
Пусть в рассматриваемой ИСПДн вычислительная сеть построена с использованием коммутаторов, без использования сетей беспроводного доступа и без передачи данных по внешним каналам связи. Статистическая информация отсутствует. В этом случае объективные предпосылки для использования вариантов Р3 и Р5 отсутствуют, а коэффициенты имеют значения:
а3 = а 5 = 0; а1 = а 2 = а 4 = а 6 = 1.
Для перекрытия оставшихся вариантов реализации угрозы (Р1, Р2, Р4, Р6) выделены следующие мероприятия:
Для Р1: Средства антивирусной защиты.
Для Р2: Средства обеспечения целостности и физическая охрана внутренних каналов связи.
Для Р4: Средства обнаружения вторжений.
Для Р6: Средства обеспечения целостности и средства анализа защищенности.
Если в ИСПДн не реализованы перечисленные мероприятия, то вероятность успешного использования всех вариантов реализации угрозы равна 1. В этом случае вероятность реализации угрозы определяется по формуле (7):
1 +1 +1 + 1 4
Р = ■
6
■ = - = 0,6667 . 6
При применении в ИСПДн средств обеспечения целостности, вероятности успешного использования вариантов реализации угрозы принимают значения:
РГ1 = РГ4 =1; РГ2 = Рг6 =1 - 2=0,5.
Тогда вероятность реализации угрозы принимает значение:
1 + 0,5 + 1 + 0,5 3
6
- = - = 0,5 . 6
Таким образом, имеется возможность рассчитать значение вероятности реализации угрозы при использовании различных средств защиты и их сочетаний.
к=1
Для рассматриваемой ИСПДн экспертами были определены следующие значения коэффициентов, определяющих чувствительность обрабатываемых в ней персональных данных к нарушениям характеристик безопасности:
«Кон = 0,7; <л = 0,2; юДост = 0,1.
Реализация угрозы «Анализ сетевого трафика» может привести лишь к нарушению конфиденциальности информации, поэтому размер ущерба от реализации данной угрозы принимает значение:
Е =«_ • С = 0,7• С,
где С - стоимость защищаемых информационных ресурсов.
В табл. 2 приведены примеры расчета вероятностей реализации угрозы «Анализ сетевого трафика» и относительная величина ущерба от ее реализации при применении различных мероприятий по защите персональных данных и некоторых их сочетаний.
Т аблица 2
Реализованные мероприятия Вероятность реализации угрозы Уровень риска
Отсутствуют 0,667 0,467С
Средства антивирусной защиты 0,5 0,35С
Средства обеспечения целостности 0,5 0,35С
Физическая охрана внутренних каналов связи 0,583 0,408С
Средства обнаружения вторжений 0,5 0,35С
Средства анализа защищенности 0,583 0,408С
Средства антивирусной защиты + средства обеспечения целостности 0,333 0,233С
Средства антивирусной защиты + физическая охрана внутренних каналов связи + средства обнаружения вторжений 0,25 0,175С
Представленная методика анализа рисков позволяет определить эффективность принятых или планируемых решений, а также оценить эффективность прецедентов. Кроме того, значение вероятности реализации угрозы зависит
от числа имеющихся на ее пути барьеров, что соответствует определенному методикой ФСТЭК порядку.
Методика на данный момент предполагает ряд допущений, например, не учитывает эффективность перекрытия тем или иным мероприятием какого-либо способа реализации угрозы. Кроме того, необходимо дополнительно описать методику определения стоимости информационных ресурсов, содержащих персональные данные. Тем не менее данная методика позволяет оценить эффективность и корректность генерируемых решений по результатам тестирования прототипа СППР.
Модуль анализа рисков и оценки эффективности, наряду с модулями вывода на основе прецедентов и вывода на основе правил, является основным компонентом разрабатываемой системы поддержки принятия решений.
Использование данной СППР позволит организациям и предприятиям проводить классификацию ИСПДн, формировать модель угроз, проектировать систему защиты персональных данных, а также поддерживать ее в актуальном состоянии, не имея в своем штате специалистов в области информационной безопасности. Результатом применения СППР является повышение эффективности принимаемых решений и снижение затрат при создании и эксплуатации системы защиты персональных данных.
ВЫВОДЫ
Дается описание системы поддержки принятия решений по обеспечению безопасности персональных данных. Показаны актуальность проблемы и наличие потребности в подобной системе.
Определены требования, предъявляемые к СППР, ее структура, а также методика проектирования и создания. Выделены ключевые задачи, решаемые системой.
Предложена и подробно описана методика формирования информационного пространства представления знаний предметной области обеспечения безопасности персональных данных на основе онтологического анализа.
Предложено построение базы знаний с использованием модулей вывода на основе правил и на основе прецедентов. Подобная структура базы знаний позволяет использовать как формализованные знания, представленные в виде правил, так и знания, основанные на предыдущем опыте и отображаемые в виде прецедентов.
Предложена методика оценки эффективности принятых решений и анализа рисков информационной безопасности ИСПДн, позво-
ляющая с помощью разработанной СППР проводить исследования в условиях отсутствия статистической информации по угрозам безопасности.
СПИСОК ЛИТЕРАТУРЫ
1. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (с изменениями от 27.12.2009 № 363-ф3, от 28.06.2010 № 123-Ф3, от 27.07.2010 № 204-ФЗ).
2. Поддержка принятия решений при стратегическом управлении предприятием на основе инженерий знаний / Л. Р. Черняховская [и др.]. Уфа: АН РБ, Гилем, 2010. 128 с.
3. Автоматизированное проектирование ин-формационно-управляющих систем. Проектирование экспертных систем на основе системного моделирования / Г. Г. Куликов [и др.]. Уфа, УГАТУ, 1999. 223 с.
4. Бадамшин Р. А., Ильясов Б. Г., Черняховская Л. Р. Проблемы управления сложными динамическими объектами в критических ситуациях на основе знаний. М.: Машиностроение, 2003.
240 с.
5. Башмаков И. А., Башмаков А. И. Интеллектуальные информационные технологии. М.: Изд-во МГТУ им. Н. Э. Баумана, 2005. 304 с.
6. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных: Метод. документ Федеральной службы по техническому и экспортному контролю (ФСТЭК России).
7. Муромцев Д. И. Введение в технологию экспертных систем. СПб.: СПб ГУ ИТМО, 2005. 93 с.
ОБ АВТОРАХ
Васильев Владимир Иванович, проф., зав. каф. вычислит. техники и защиты информации. Дипл. инженер по промэлектронике (УГАТУ, 1970). Д-р техн. наук по системн. анализу и авт. упр. (ЦИАМ, 1990). Иссл. в обл. многосвязн., много-функц. и интеллектуальн. систем.
Белков Николай Вячеславович, асп. той же каф. Дипл. специалист по защите информации (УГАТУ, 2009). Готовит дис. в обл. защиты информации и поддержки принятия решений.