CC BY
78
Проблемы передачи, обработки и защиты информации
УДК 004.7.056
И.В. Аникин
УПРАВЛЕНИЕ ВНУТРЕННИМИ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СЕТЕЙ
Обеспечение информационной безопасности (ИБ) корпоративных информационных сетей (КИС) часто осуществляется с позиции управления рисками И Б. Риск И Б определяется как функция (1), зависящая от возможности F\ Т„ V,) реализации угрозы Т, е Г через конкретные уязвимости V, е К и от ущерба IMPACT), понесенного в результате реализации данной угрозы:
Risk, = R(Pi ТVj), IMPACT;). (I)
Это делает актуальным разработку методов достоверной оценки факторов риска И Б — возможности реализации угрозы Р и ущерба IMPACT. Наибольший интерес представляют методы количественной оценки данных факторов, позволяющие аналитическим путем решать задачи оценки эффективности СЗИ и управления рисками И Б. Методы оценки факторов риска широко представлены [1—7] в научной литературе, однако существуют проблемы, связанные с их практической реализацией.
Проведенный анализ (6] показывает, что определение точного уровня риска И Б часто не представляется возможным. В связи с этим на практике широкое распространение получили методы приближенной оценки рисков, основанные на экспертных оценках. К сожалению, большинство из них не учитывает специфику внутренних рисков ИБ, источником которых являются внутренние нарушители. Данные риски представляют наибольшую опасность для современных КИС, в связи с чем задача управления ими становится особенно актуальной.
Постановка данной задачи заключается в разработке методов достоверного оценивания факторов внутренних рисков ИБ (вероятности реализации угроз и объема наносимого ущерба), а также стратегии снижения внутренних рисков до приемлемого уровня. При решении данной задачи необходимо учесть следующие особенности.
1. Источником реализации внутренних угроз И Б является человек. В связи с этим возникает проблема учета человеческого фактора при оценке вероятности их реализации.
2. Наносимый угрозой ущерб часто имеет качественный характер, который требуется оценить в количественном виде. Кроме этого величина ущерба во многом определяется характером взаимодействия активов КИС, который должен быть учтен методом оценки.
В данной статье предлагается методика управления внутренними рисками И Б, учитывающая данные особенности.
Модель корпоративной информационной сети
В методике предлагается рассматривать следующие основные виды активов, подверженных угрозам ИБ: информационные активы, рабочие станции (АРМ) пользователей, серверы, телекоммуникационное оборудование, ИТ-сервисы (ИТ-услуги, предоставляемые для поддержки реализуемых бизнес-процессов).
Разработанная модель КИС включает в себя информационную модель Л/Ш1ф, множество аппаратных активов /4АО, логическую структуру (7лс, модель ИТ-сервисов ^итс-
Множество аппаратных активов КИС включает в себя множества АРМ Лдрм^ серверов Лсерв, телекоммуникационного оборудования /4ТК.
Логическая структура КИС представляется в виде графа <7ЛС = (V, Е) с двухцветной раскраской вершин и ребер. Вершины графа — взаимодействующие сегменты КИС и телекоммуникационное оборудование, а ребра — контролируемые и неконтролируемые каналы связи. Множество каналов связи Лксвяш определяется ребрами графа С1с с петлями в вершинах, соответствующих сегментам сети.
Для формализации модели ИТ-сервисов введены множества />итс реализуемых ИТ-сервисов и ориентированный граф (лес) (7ИТС, представляющий деревья зависимостей ИТ-сервисов. Каждому из элементов йитс € ^итс поставлен в соответствие граф 67npc,j итс представления ИТ-сервиса, являющийся ориентированным подграфом Слс с возможными петлями. Определены два
бинарных отношения: /?итс 5= ^итс х ^ao — между ИТ-сервисами и реализующим их
оборудованием; с= Атс х Лннф — между ИТ-сервисами и предоставляемыми информационными активами.
Информационная модель КИС базируется на введенной модели IP информационных потоков и тернарном отношении
/Сф, определяющем характер работы оборудования с информацией (хранение или обработка). Каждый из информационных потоков модели IP представляет собой тройку элементов {аИ]1ф, аихс, Path), где аихс — ИТ-сервис, предоставляющий ресурс а1Шф,
Path = {pj) — множество цепей в графе
(7ЛС, представляющих собой информационные потоки для аИ|1ф от отправителя к получателю.
Модель угроз КИС определена в виде трехдольного графа (7угр, вершинами которого являются элементы множества уяз-вимостей /4уязв, угроз Лу|р, объектов защиты ■ф ^ ^до ^ ^Ксня )и- Ребра графа 6\тр между угрозами и активами помечены элементами множества {сс, с/, cd), где сс соот-
ветствует хищению информации, с/ — модификации или отрицанию подлинности, cd — уничтожению или блокированию актива.
Оценка уровня ущерба от реализации угроз ИБ
Уровень ущерба от реализации угроз И Б определяется критичностью активов КИС, на которые воздействуют угрозы. Предлагается определять следующие категории активов:
конфиденциальность ссИМф, целостность с/„„ф, доступность гс/мпф для информационных ресурсов;
критичность ссАРМ для АРМ; критичность сссерв и доступность cdcef)n для серверов;
доступность cdTK для телекоммуникационного оборудования:
доступность о/итс для ИТ-сервисов. Для определения категорий критичности информационных активов введены частные показатели ущерба: ЧП* rj = 1. ..,// — для конфиденциальности: ЧГ1|'. / = 1. ...р" —
для целостности: ЧП /. / = I,.., р ' — для доступности. Данные показатели характеризуют различные виды ущербов при нарушении соответствующих свойств информационных активов.
Одна из основных проблем количественной оценки категорий критичности — качественный характер большинства частных показателей ущерба. В этих условиях для формирования оценок предложено использовать метод анализа иерархий. Сформирована четырехуровневая иерархия для определения весовых коэффициентов критичности информационных активов и разработан алгоритм "Экспертная оценка категорий" для количественной оценки их уровней критичности.
Критичность АРМ определяется согласно выражению ссЛРМ = Iсс + 1с/, где сс, ci — категории конфиденциальности и целостности информационных активов, обрабатываемых на АРМ.
Доступность ИТ-сервиса определяется согласно (2):
"4itc ~ гпах(а/итс эксп, I«/lim)„ Zcd]ATC tree), (2)
4-
Проблемы передачи, обработки и защиты информации^
где cdmc эксп — формируется путем оценки частных показателей ущерба, связанных с нарушением доступности ИТ-сервиса, по алгоритму "Экспертная оценка категорий"; Еа/ИНф — сумма уровней доступности информационных активов, предоставляемых ИТ-сервисом; £о/итс tree — сумма уровней доступности зависимых ИТ-сервисов, определяемая согласно <7ИТС.
Определение уровней доступности ИТ-сервисов осуществляется в строго определенном порядке. В первую очередь определяется доступность тех, которые являются висячими вершинами дерева зависимостей ИТ-сервисов Сиге- В последнюю очередь определяется доступность ИТ-сервисов, влияющих на другие.
Критичность сервера определяется в виде сссерв = сс + с/. Доступность сервера
определяется в виде о/серв = ^ )•
> I ktc ."«rn Мйтс
Доступность телекоммуникационного оборудования определяется согласно выражению = ХИитс)-
./laTKe<ii>a_HTC
На основе уровней критичности активов, можно определить уровень ущерба, наносимого реализацией угрозы. Множество активов КИС, на которые воздействует угроза threat,
Ahreu, = [>' I 3eyrp,eyrv(threal.a')}, (3) где eyip — ребро в графе С>тр, связывающее угрозу threat и актив а/.
Множество A,hrea, — это объединение трех
подмножеств Alhrea, = А^е,„ и А%„а, и А™па,, включающих в себя множество активов КИС. для которых угроза threat нарушает конфиденциальность, целостность, доступность соответственно. Один и тот же актив а/ может принадлежать одновременно нескольким подмножествам A'i!L •
Обозначим через c.R^u(threat,cm) уровень снижения ущеба от реализации угрозы threat путем реализации защитной меры ст. представляющей собой контур системы защиты информации (СЗИ). Обозначим через ccthna„ cilhreal, cd,hrea, частные степени
влияния угрозы на КИС при нарушении конфиденциальности, целостности и доступности активов соответственно. Тогда степень влияния угрозы threat с учетом реализованных защитных мер и многоконтурной СЗИ определяется как
IMPACTlhreal = cc,hrea, + cilhreal + cdlhreal, (4) где cc„ma, = £cca,-ПО"(threat.cm));
ci,hK„, = Zc/ni-^W);
cdlhrea = £«/,, П(\-c.K&(threat.cm)l
Оценка возможности реализации угроз
Обозначим через />peajl возможность реализации угрозы threat внутренним нарушителем КИС. Ее оценку предлагается осуществлять в виде Р^, = Ртт Русп, где Ртш -возможность возникновения условий реализации угрозы (принятия решения внутренним нарушителем о ее реализации); Русп — вероятность успешной реализации угрозы после возникновения данных условий. При оценке показателей Рнти и Русп требуется учесть человеческий фактор в качестве источника реализации угроз.
Значение Ртш предлагается определять следующим образом:
^ВОЗН — ^М ^"В ^"К'
где LM е [0; 1] — уровень мотивации нарушителя при реализации угрозы; ¿н е [0; 1] — уровень враждебности нарушителя; LK — уровень осведомленности нарушителя о КИС и средствах защиты. Показатели ¿м, ¿в, LK определяются для каждого из пользователей КИС и € U.
Уровень враждебности Ln пользователя определяется через уровень его соответствия нечеткой модели "Потенциальный нарушитель". Модель предложена автором в [8] и формально представляется как
Цх1г ..., xN) = {X, W. 3, р), (6)
где X — {Х|, ..., xN} — лингвистические переменные, определяющие свойства потенциального нарушителя; (5 — синтаксис
лингвистического описания, представляемый в виде грамматики С = (VN, VT, P. S) с множествами терминальных символов VT - {У есть L'j}, где L\ — значение лингвистической переменной У; нетерминальных символов VN — {5}; правил вывода 5 -» (У есть L'j), S ((У есть L'j) И S), S -> ((У есть L)) ИЛИ S), S -> mS (где т — модификаторы ОЧЕНЬ. ДОВОЛЬНО, НЕ,
БОЛЕЕ ЧЕМ); р = {р}ч=| — процедуры
оценки значений признаков У; W = (w,.....
vvv) — весовые коэффициенты признаков.
В качестве свойств потенциального нарушителя использованы лингвистические переменные "Возраст", "Объем атакующих средств на узле", "Частота использования атакующих средств", "Частота посещения хакерских сайтов", "Уровень любознательности в сети", "Количество регистрации на хакерских форумах", "Количество подписок на хакерские новости и новости по И Б", "Количество "нехороших" поисковых запросов в единицу времени", "Уровень владения ПК".
Оценка степени соответствия пользователя КИС нечеткой модели осуществляется согласно алгоритму, предложенному в [8].
Мотивация нарушителя Z.M определяет-
Benefits
ся в виде отношения Lm =-:-, где
Cost
Benefits — выгоды нарушителя от реализации угрозы, Cost — затраты на реализацию угрозы нарушителем. В качестве факторов, определяющих выгоды нарушителя, предлагается рассматривать моральное удовлетворение и материальные выгоды. К факторам, определяющим затраты нарушителя, отнесены временные ресурсы, риск наказания, трудоемкость технической реализа-ции угрозы. Определение приоритетов выгод и затрат нарушителей при реализации угрозы threat осуществляется с помощью метода анализа иерархий [9J. Далее экспертным путем определяется значение Benefits е [0; I] для группы сотрудников, обладающих максимальной категорией выгод, и Cost1 е [0; 11 для группы сотрудников, обладающих максимальной категорией затрат. Мотивация остальных сотрудников рассчитывается следующим образом:
Benefits =
w'-Cost Cost = -üuz?-
w(r
threat
м'ГГ Benefits
и
Benefit\ threat
L... =
Benefits Cost
Уровень осведомленности LJK e [0; I] сотрудников о КИС и средствах зашиты также предлагается определять с помощью метода анализа иерархий.
Вероятность Русп успешной реализации угрозы threat, от сотрудника и определяется для многоконтурных СЗИ следующим образом:
Л» =
max
"\ф Qual, >d,fj'
j.canned^ (l. /).
le
х[](|-кТик.'1
(7)
0. если Oualn < diff',
где Qualu е [0; 1] — уровень квалификации пользователя w, характеризующий его возможность использовать уязвимости различного уровня сложности. Для оценки уровня квалификации используется подход, основанный на методе анализа иерархий; dijfj е [0; 1) — сложность использования уязвимости vw/лу. определяемая экспертным путем; стк — защитная мера, предстаааяюшая
собой контур СЗИ; R^\cmk, /]е [0; 1] — уровень снижения вероятности использования уязвимости vulnj в результате внедрения защитной меры стк; \стк ,у]е [0;1] —
уровень снижения вероятности реализации угрозы threat j в результате внедрении защитной меры стк\ connect(i.j)e {true, false) определяет связность угрозы threat, и уязвимости vulnj в трехдольном графе Сугр.
Возможность реализации угрозы threatj в КИС рассчитывается как
(8)
ГДе (^рсал I = (^возм )„ (Лсп )„ = (4, )„ (¿в X (4 i X
4
Проблемы передачи, обработки и защиты информации.
х
к
хПО-А^К-/])
к
0. если Qualu < cliff.
max
I,connect^ (i, j Qual.>diir>
После оценки показателей IMPACT и Рреал, уровень риска оценивается согласно ( I ).
Снижение внутренних рисков информационной безопасности
Общий уровень риска по КИС R определяется в виде R = £ Rlhreal , где R,hrea, =
ihreal
= IMPACT,,treat ■ ^реал- ЭффеКТИВНОСТЬ фуп-пы защитных мероприятий СМ будем рассчитывать как
Cost _V,
(9)
где с/и,
е СМ — защитная мера, ДЛ„, = - Я"™ — уровень снижения риска И Б при внедрении защитной меры с/и,; Со$1_Р, — стоимость поддержки защитной меры; — стоимость внедрения за-
щитной меры.
Будем решать на этапе снижения рисков задачу выбора варианта подсистемы информационной безопасности, оптимизированной но критерию "стоимость—эффективность" при заданном уровне остаточных рисков. Формальная постановка данной задачи представлена выражением
[Г(СМ)-> тах:
ппечг ^ ^ порог (Ю)
где /?порог — пороговое значение остаточных рисков в КИС, приемлемое для организации.
Для решения поставленной задачи на множестве защитных мер использовался генетический алгоритм. Решение задачи кодировалось в виде строк-особей вида
(I 0 I ......). Длина строки определяется
возможным количеством защитных мер М. Бит "1" означает, что соответствующая мера безопасности используется в КИС. "0" — не используется. В случае, когда для КИС
по требованиям безопасности необходима реализация базового набора защитных мер, работа алгоритма осуществляется на шаблонах с маской вида 1*|***1, Где символы * соответствуют битам с переменными значениями. Остальные биты, установленные в I, должны оставаться неизменными. К ним не применяются операторы мутации на этапе работы генетического алгоритма.
Таким образом, методику управления внутренними рисками ИБ КИС можно представить в следующем виде:
Управление внутренними рисками ИБ — актуальная проблема для современных КИС. Большинство предприятий относят внутренние угрозы к наиболее опасным, о чем свидетельствуют аналитические отчеты многих известных компаний.
Для решения проблемы управления внутренними рисками ИБ КИС в данной статье разработана методика, обладающая следующими преимуществами по сравнению с известными:
учитывает специфику внутренних рисков И Б, источником которых является внутренний нарушитель. Человеческий фактор учитывается при оценке вероятности реализации угроз;
оценка рисков осуществляется в количественном виде, что позволяет эффективно использовать ее для оценки эффективности СЗИ и решения оптимизационных задач на этапе снижения рисков И Б:
использование формальной модели КИС позволяет учесть взаимодействие активов при оценке ущерба.
Это делает возможным эффективное использование методики для решения про-
блемы управления внутренними рисками И Б. К недостаткам предложенной методики можно отнести определенную сложность ее применения при значительном количестве активов КИС.
СПИСОК ЛИТЕРАТУРЫ
1. Петренко С.А., Симонов C.B. Управление информационными рисками. Экономически оправданная безопасность. М.: Компания АйТи: ДМ К Пресс, 2004. 384 с.
2. Черешкин Д.С., Кононов А.А., Новицкий Е.Г., Цыгичко В.Н. Методика оценки рисков нарушения информационной безопасности в автоматизированных системах. М.: Институт системного анализа РАН, 1999.
3. Кононов А.А., Бурдин О.А. Аксиоматика оценки рисков нарушения информационной безопасности компьютеризированных организационных систем // Проблемы информационной безопасности. Компьютерные системы / СПбГТУ. 2002. № I.C. 27-30.
4. Аникин И.В. Подход к оценке и анализу рисков информационной безопасности, основанный на использовании метода анализа иерархий // Инфокоммуникационные технологии глобального инс|юрмационного общества: Сб. тр.
3-й ежегод. науч.-практ. конф., Казань, 8—9 сентября 2005. Казань, 2005 г.. С. 321-332.
5. Модели технических разведок и угроз безопасности информации: (Коллективная монография] / Под ред. Сухарева Е.М. М.: Радиотехника, 2003. Кн. 3. 144 с.
6. Домарев В.В. Безопасность информационных технологий. Системный подход. Киев: ООО ТИД Диа Софт, 2004. 992 с.
7. Хоффман Л.Дж. Современные методы защиты информации: Пер. с англ. / Под ред. В.А. Герасименко. М.: Сов. радио, 1980. 264 с.
8. Glova V.l., Anikin I.V. Method for Recognition of Fuzzy 2D Primitives via a Technology of Soft Computing // Pattern Recognition and Image Analysis. Vol. II, № 1. 2001.
9. Саати Т. Принятие решение решений. Метод анализа иерархий. М.: Радио и связь, 1993. 278 с.
УДК 004.7.056
Л.М. Крицкая, В.Н. Гоголев, Ю.С. Поверенный
ПОСЛЕДОВАТЕЛЬНОСТЬ АНАЛИЗА КРИТЕРИЕВ ПРИ РЕШЕНИИ
ЗАДАЧИ ФОРМИРОВАНИЯ ПРОЦЕДУРЫ СИТУАЦИОННОГО УПРАВЛЕНИЯ ПО ВЫБОРУ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Выбор средств защиты информации для корпоративной сети предприятия, представляющей сложную организационно иерархическую систему, сегодня особенно актуален.
В статье рассматриваются два этапа решения ситуационных задач. На первом этапе предлагается классифицировать ситуационные задачи, на втором — создать критерии, в соответствии с которыми можно будет разрешить ситуацию. Кроме того, приводится пример выбора средств зашиты информации для корпоративной сети предприятия.
Задача формирования процедур ситуационного управления в общем виде поставлена следующим образом. Имеются множества: ситуаций, характеризующихся группами признаков; стратегий управления: методов разрешения ситуаций: элементарных циклов управления, определенная совокупность которых связывает причины возникновения ситуации и объект воздействия. Необходимо упорядочить эти множества в процессе разрешения ситуаций.
Поставленная задача отличается многовариантностью решений.
