Современные тенденции оценки защиты информации Текст научной статьи по специальности «Компьютерные и информационные науки»

Научный журнал КубГАУ, №107(03), 2015 года

1

УДК 004.056

05.00.00 Технические науки

СОВРЕМЕННЫЕ ТЕНДЕНЦИИ ОЦЕНКИ ЗАЩИТЫ ИНФОРМАЦИИ

Зюзин Александр Сергеевич

РИНЦ SPIN-код автора: 4553-3170

Институт сервиса, туризма и дизайна (филиал)

ФГАОУВПО Северо-Кавказского федерального

университета, Пятигорск, Россия

Тел.: 8(8793)33-06-39. E-mail: alek@pfncfu.ru

Статья посвящена актуальной на сегодняшний день проблеме оценки защищенности информационных систем и значимости получения, объективных количественных результатов оценки. Автором предлагается для создания комплексной системы защиты информации использовать системый подход на каждом этапе жизненного цикла информационной системы. На основе данного подхода автор формулирует общую схему оценки защиты информации в информационной системе, а так же принципы выбора метода проведения оценки. В работе рассмотрены существующие методы количественной оценки, основанные на объектно-ориентированных методах системного анализа, а так же объективность получаемых оценок на основе данного подхода. На основе проведенного анализа выделены серьезные недостатки используемых современных методик оценки защищенности информационных систем, была сформулированна идея о необходимости создания научно-методического аппарата, обеспечивающего повышение объективности и комплексности оценки средств защиты информации на базе формализации экспертных данных. Рассмотрена возможность применения данного подхода для оперативного получения количественной оценки защищенности информации в условиях динамики изменений угроз безопасности, функционирования и развития информационной системы. Выполнена постановка задачи оценки защищенности автоматизированных информационных систем, и сформулирована общая методика оценки средств защиты информации в системах данного типа

Ключевые слова: МЕТОДЫ ОЦЕНКИ, ЗАЩИТА ИНФОРМАЦИИ, БЕЗОПАСНОСТЬ

UDC 004.056 Technical sciences

ANALYSIS APPROACHES TO EVALUATION OF INFORMATION PROTECTION

Zyuzin Alexander Sergeevic RISC SPIN-code: 4553-3170

Institute of service, tourism and design (branch) of the North- Caucasus Federal University, Pyatigorsk, Russia

Tel.: 8(8793)33-06-39. E-mail: alek@pfncfu.ru

The article is devoted to an actual problem of information systems’ security assessment and the importance of objective quantitative assessment results receiving. The author offers the creation of complex system of information security with system approach, which will be used at each stage of information system’s life cycle. On the basis of this approach the author formulates the general scheme of an information security assessment of information system, and also the principles of an assessment’s carrying out method choice. In this work the existing methods of a quantitative assessment based on object-oriented methods of the system analysis, and also the objectivity of the received estimates on the basis of this approach are considered. On the basis of the carried-out analysis, serious shortcomings of the used modern techniques of an information systems’ security assessment are allocated, then the idea of the scientific and methodical device providing the increase of objectivity and complexity of an information assessment means on the basis of expert data formalization creation necessity was formulated. The possibility of this approach application for expeditious receiving a quantitative information security assessment in the conditions security threat’s dynamics changes, functioning and developments of information system is considered. The problem definition of automated information systems’ security assessment is executed, and the general technique of protection means of information in systems of this type was formulated

Keywords: ASSESSMENT METHODS, INFORMATION PROTECTION, SECURITY

Введение

Значимость проблемы защиты информации в современном мире является признанной, и подтверждению этому являются понесенные корпорациями огромные убытки из-за недостаточной защищенности

http://ej.kubagro.ru/2015/03/pdf/35.pdf

Научный журнал КубГАУ, №107(03), 2015 года

2

информации. Однако, проведенный анализ в области нарушений безопасности информации указывает на наличие серьезных трудностей, которые во многом связаны с отсутствием единой системы оценки защищенности информации, позволяющей дать количественную оценку, при проектировании и эксплуатации информационных систем.

Общая методика построения систем защиты информации

Решение проблемы, возникающие при защите информации в автоматизированных информационных системах, является сложным процессом, который базируется на основе системного подхода, применяемого при создании комплексной системы защиты информации. Для обеспечения защищенности информации в АИС крайне важно использование мероприятий направленных на защиту информации на всех этапах жизненного цикла АИС.

Жизненный цикл можно разделить на четыре этапа[4]:

• проектирование;

• ввод в действие;

• эксплуатация;

• сопровождение.

На первом этапе жизненного цикла АИС необходимо произвести идентификацию рисков для системы и выявить недопустимые риски, которые необходимо уменьшить или удалить средствами защиты АИС. После чего, ответственное лицо анализирует ожидаемые остаточные риски и принимает решение об их приемлемости для проектируемой АИС.

Следующим шагом на этапе проектирования АИС является выбор аппаратного обеспечения, программных продуктов, обеспечивающей инфраструктуры, прикладного программного обеспечения и необходимых технических средств регулирования безопасности АИС. На данном этапе уже следует производить оценку безопасности проектируемой АИС. Это

http://ej.kubagro.ru/2015/03/pdf/35.pdf

Научный журнал КубГАУ, №107(03), 2015 года

3

позволит специалистам по обеспечению защищенности АИС дать понимание устройства системы, а так же ее предполагаемой эксплуатационной среды.

После анализа внешней и внутренней среды функционирования АИС идет закупка базового и прикладного программного обеспечения, а также технические инструменты регулирования безопасности. Параллельно с этим создается инфраструктура безопасности для административного и процедурного уровней, с полным документированием политик, правил и процедур безопасности, интегрируемые в систему защиты АИС.

В случае внесения изменений в существующую автоматизированную информационную систему, то должна выполняться замена технических средств регулирования безопасности в соответствии с изменившейся средой.

Следующий шаг - оценка автоматизированной информационной системы. Это позволяет владельцу АИС получить независимое подтверждение того, что все выявленные риски благодаря применению средств регулирования безопасности сведены до приемлемого уровня. Проведение оценки необходимо для проверки АИС на соответствие к предъявляемых к ней системным требованиям. Как правило, специфические параметры безопасности, характерные для конкретной организации (административные, технические и т.д.), могут быть установлены до начала ввода в эксплуатацию автоматизированной информационной системы. Результатом первого этапа является подтверждение приемлемости существующих угроз безопасности для функционирования АИС в производственной среде и возможности ввода системы в эксплуатацию.

На, втором этапе происходит развертывание и инсталляция автоматизированной информационной системы, подготовка к эксплуатации.

На этапе эксплуатации выполняется непрерывное протоколирование и отслеживание работы технических, процедурных и административных

http://ej.kubagro.ru/2015/03/pdf/35.pdf

Научный журнал КубГАУ, №107(03), 2015 года

4

средств регулирования безопасности. Реализуется обратное взаимодействие для корректировки средств регулирования безопасности при внесении изменений в АИС. Обеспечение обратного взаимодействия с АИС проводится мониторинг не всех средств регулирования безопасности, а наиболее важных критериев подмножеств, сгруппированных на логическом подходе. Для реализации возможности мониторинга АИС у администратора должна быть возможность управления конфигурацией, аудита и администрирования.

Этап сопровождения связан с анализом всех предложенных или сделанных изменений в АИС, конфигурации средств регулирования безопасности, включая изменения в правилах, процедурах и политиках. Данный этап завершается выведением системы из использования и перемещением данных в другую систему или перемещением в долговременный архив. Ответственное лицо должно потвердеть факт успешного завершения работы АИС.

Учитывая особенности организации защиты информации на всех этапах жизненного цикла построения системы защиты информации АИС можно выделить следующие этапы:

1. Разработка профилей защиты для АИС. Формирование совокупности требований к безопасности и спецификаций, включенных в профиль защиты АИС.

2. Разработка методов оценки реализации ПЗ;

3. Проведение оценки ПЗ на полноту, непротиворечивость и достаточность требований к параметрам безопасности.

4. Проведение комплексной оценки реализации ЗБ;

5. Ведение мониторинга эффективности применяемых мер по обеспечению безопасности информации.

Наиболее важным этапом при построении комплексной системы защиты информации является этап оценки систем защиты информации

http://ej.kubagro.ru/2015/03/pdf/35.pdf

Научный журнал КубГАУ, №107(03), 2015 года

5

АИС. Общая схема оценки приведена на рисунке 1.

При проведении оценки систем защиты информации АИС основными вопросами являются следующие вопросы:

- отвечает ли функция безопасности АИС требованиям, указанным в ПЗ;

- корректна ли реализована функция безопасности АИС.

Рисунок 1. Процедура оценки системы защиты информации АИС

При выборе метода оценки защищенности информации необходимо придерживаться следующих принципов:

Объективность - результаты оценки должны быть основаны на фактических данных и не зависеть от личного мнения;

Воспроизводимость - при использовании одних и тех же входных данных для оценки должен всегда приводить к идентичным результатам;

Корректность — случайные действия оценивающего не должны оказывать действия точность оценки;

http://ej.kubagro.ru/2015/03/pdf/35.pdf

Научный журнал КубГАУ, №107(03), 2015 года

6

Достаточность — действия по оценке проводятся до уровня, требуемого для удовлетворения заданного критерия доверия.

Для проведения оценки состояния системы защиты информации АИС необходимо проводить оценку всей структуры требований безопасности, состоящих из совокупности частных показателей подмножеств, сгруппированных на основе логического подхода.

Данный процесс можно представить в виде следующе последовательности этапов:

- процедура нечеткого экспертного оценивания элемента (частные показатели подмножеств);

- процедура нечеткого оценивания показателей совокупности подмножеств, на основе эвристических методов представления экспертных оценок;

- процедура определения весов важности показателей;

- процедура получения оценки в соответствии с иерархической структурой показателей.

Современные методы оценки системы защиты информации

Развитие научного направления в области оценки защищенности информации в информационной системе, с использованием систем защиты информации, осложняется отсутствием единой системы понятий и категорий для оценки СЗИ [5].

Оценка защиты информации в АИС строится на основе подхода, смысл которого заключается в присвоении АИС определенного класса защиты, исходя из степени реализованных в ней типовых конфигураций средств защиты информации и организационных мероприятий. На сегодняшний день данный подход используется во всех современных нормативных актах, как в иностранных, так и в российских.

Проведя анализ наиболее распространенных методик в области

http://ej.kubagro.ru/2015/03/pdf/35.pdf

Научный журнал КубГАУ, №107(03), 2015 года

7

оценки защищенности АИС позволяет выделить три основных метода оценки защищенности АИС:

- формальный;

- статистический;

- классификационный.

Не получил большого практического применения формальный метод оценки защищенности АИС ввиду сложности в формализации основных понятий: сопротивляемость механизма защиты, угрозы безопасности и ущерба от реализации угрозы безопасности.

Статистический подход, в свою очередь, основывается на сбор и накоплений статистики о частоте возникновениях инцидентов в АИС и расчете на их основе статистических вероятностей возникновения соответствующих угроз. На практике получить реальные данный, используя статистический подход, практически невозможно. Это связано с трудностью сбора информации по событиям, вероятность происшествия которых крайне мала, а так же с тем, что система не является статичным объектом, а находится в стадии постоянного развития, в рамках которого происходит изменение в составе программного, аппаратного обеспечения и СЗИ. В связи с трудностью постоянного сбора статистической информации в рамках изменяемой информационной системы, статистический подход при оценке защищенности применим лишь частично, как дополнительное средство при наличии достоверной статистической базы.

На практике большое применение получил неформальный классификационный подход с применением неформальных моделей защиты АИС, в качестве значений показателей объектов которых используется их отнесение к определенным категориям. Данный подход не дает получить точное значение показателя защищенности, но позволяет классифицировать и сравнивать АИС по уровню защищенности.

http://ej.kubagro.ru/2015/03/pdf/35.pdf

Научный журнал КубГАУ, №107(03), 2015 года

8

Для оценки степени реализации механизмов регулирования безопасности используют методы активного и пассивного тестирования системы защиты информации. Для этого проводят имитацию действий потенциального злоумышленника по преодолению механизмов и средств защиты, или применяют списки проверки и о анализируют конфигурацию устройств, операционные системы и приложения. Тестирование может проводиться как вручную, так и с использованием специализированного программного обеспечения.

В качестве примера указанного программного обеспечения является семейство продуктов компании Internet Security Systems, включающее следующие подсистемы:

• анализ защищенности уровня ОС - System Scanner;

• анализ защищенности уровня СУБД — Database Scanner;

• анализ защищенности уровня ЛВС — Internet Scanner;

• анализ защищенности уровня радио сетей - Wireless Scanner.

Механизм автоматизации процесса оценки защищенности

информации во всех существующих методах базируется на применении технологии баз данных, с разделением на количественные и качественные.

Ввиду относительной простоты качественные методики оценки защищённости получили наиболее широкое применение .Разработано достаточно большое количество методик, которые базируются на использование различных средств автоматизации. Одними из наиболее известных методик являются:СОВЯА, RA Software Tool и MethodWare. Данные методики позволяют жать оценку соответствия системы безопасности организации международным стандартам или иным стандартам безопасности. Оценки производятся с использованием качественных шкал, на основе данных, полученных с использованием тематических опросников.

Существующие количественные методы оценки используют объектно-

http://ej.kubagro.ru/2015/03/pdf/35.pdf

Научный журнал КубГАУ, №107(03), 2015 года

9

ориентированные методы системного анализа. Для проведения оценки используют базы данных уязвимостей, а так же иные сложные инструментальные средства. К данным методикам можно отнести CRAMM

[1], RiskWatch [2], и «Гриф» и «АванГард» [3]. Проведенный анализ подобных методик показывает, что в качестве количественных данные методики могут быть использованы весьма условно, т.к. полученные балльные результаты являются весьма субъективными и не лучше качественных шкал. На основе вышесказанного можно утверждать, что в настоящий момент основным подходом для оценки средств защиты информации АИС является классификационный подход. Данный подход использует шкалу интервалов значений, которая позволяет получать числовые оценки ключевых параметров путем их категорирования и соотношения с некими значениями, используемыми в конкретном методе оценки защищенности информации.

К серьезным недостаткам используемых в современных методиках оценки защищенности АИС необходимо отнести малоэффективное применение знаний экспертов. При проведении оценки ограничиваются получением точных оценок выбранных ключевых показателей, а так же серьёзным недостатком является отсутствие комплексности получаемых оценок. Проведение оценки СЗИ АИС на основе большинства современных методик характеризуется высокой трудоемкость.

Таким образом, используемые современные методики оценки средств защиты информации АИС обладают рядом существенных недостатков, затрудняющих их практическое применение и снижающих ценность получаемых с их помощью результатов. Проведенный анализ показал, что на текущий момент не существует методик и методов оценки СЗИ АИС, удовлетворяющие современным требованиям по объективности, комплексности и трудоемкости оценки.

http://ej.kubagro.ru/2015/03/pdf/35.pdf

Научный журнал КубГАУ, №107(03), 2015 года

10

Постановка задачи оценки СЗИ

Проведенный анализ современных методик и методов проведения оценки СЗИ АИС выявил несоответствие между необходимостью получения объективных количественных данных по оценке СЗИ АИС и невозможности получения их современными методами. Данное противоречие не позволяет реализовать заданный уровень защищенности АИС, при обеспечении эффективности их использования в условиях развития АИС, появления новых уязвимостей и угроз, а так же лимитируемостью средств, предоставляемых на решение данной задачи при отсутствии реальных данных о функционировании СЗИ.

Для решения данной проблемы можно использовать методики и методы, поддерживающие автоматизированные средства, обеспечивающие повышение объективности и оперативности оценки защищенности АИС на основе применения методов построения прогностических моделей, мониторинга потенциально опасных объектов, формализации экспертной информации с целью создания методологической основы.

Следовательно, для дальнейшего повышения точности результатов анализа СЗИ требуется:

1. Разработка модели оценки СЗИ АИС, которая позволит учитывать аспекты трудно формализуемых данных предметной области.

2. Разработка методики оценки защищенности АИС,

поддерживающие автоматизированные средства, обеспечивающие

повышение объективности и оперативности оценки защищенности АИС.

Проведенный анализ позволяет выдвинуть идею о необходимости создания научно-методического аппарата, обеспечивающего повышение объективности и комплексности оценки средств защиты информации на базе формализации экспертных данных. Внедрения в практику методики и модели оценки СЗИ АИС позволит повысить защищенность АИС и её отдельных компонентов.

http://ej.kubagro.ru/2015/03/pdf/35.pdf

Научный журнал КубГАУ, №107(03), 2015 года

11

Разрабатываемая модель оценки должна позволить с высокой степенью объективности проводить оценку СЗИ АИС, как совокупности элементов, её составляющих, по трем аспектам - сохранения целостности, доступности и конфиденциальности информации.

Выводы

Проведенный анализ современных тенденций к оценке защищенности АИС показывает, что включенные в него подходы, методы, методики и средства анализа СЗИ АИС являются наиболее важными и отражают основные направления исследований в данной области, а так же позволяет выделить следующие противоречия:

- требования руководящих и нормативных документов в области защиты информации носят разрозненный характер, и не охватывают все аспекты защиты информации в современных АИС.

- несоответствие моделей функционирования СЗИ современных АИС и методов проведения оценки не соответствуют современным требованиям оценки защищенности.

- активное увеличение числа АИС, делает невозможным участия ведущих экспертов по защите информации при разработке и внедрения АИС.

В работе рассмотрены современные подходы к оценке СЗИ АИС, сформулирована общая методика оценки СЗИ АС, а так же сформулирована постановка задачи оценки СЗИ АС.

Литература

1. CRAMM www. cramm. com

2. RiskWatch. http://www.riskworld.com/

3. Бурдин О.А., Кононов А.А. Комплексная экспертная система управления информационной безопасностью «АванГард» // Информационное общество -2002 -вып. 1

4. Галатенко В.А. Оценка безопасности автоматизированных систем. Обзор и

http://ej.kubagro.ru/2015/03/pdf/35.pdf

Научный журнал КубГАУ, №107(03), 2015 года

12

анализ предлагаемого проекта технического доклада ISO/IEC PDTR 197911. Jet Info online! Информационный бюллетень, №7, 2005.

5. Материалы 2-ой ежегодной научно-практической конференции

преподавателей, студентов и молодых ученых СКФУ «Университетская наука -региону», - Пятигорск: СКФУ, 2014.

References

1. CRAMM www.cramm.com

2. RiskWatch. http://www.riskworld.com/

3. Burdin O.A., Kononov A.A. Kompleksnaja jekspertnaja sistema upravlenija informacionnoj bezopasnost'ju «AvanGard» // Informacionnoe obshhestvo -2002 - vyp. 1

4. Galatenko V.A. Ocenka bezopasnosti avtomatizirovannyh sistem. Obzor i analiz predlagaemogo proekta tehnicheskogo doklada ISO/IEC PDTR 197911. Jet Info online! Informacionnyj bjulleten', №7, 2005.

5. Materialy 2-oj ezhegodnoj nauchno-prakticheskoj konferencii prepodavatelej, studentov i molodyh uchenyh SKFU «Universitetskaja nauka - regionu», - Pjatigorsk: SKFU, 2014.

http://ej.kubagro.ru/2015/03/pdf/35.pdf