По существу, параметр риска здесь вводится как мультипликативная свертка двух основных параметров защищенности.

С другой стороны, можно рассматривать риск как потери в единицу времени:

R()=Синф*взл ,

где взл -- интенсивность потока взломов (под взломом будем понимать удачную попытку реализации угрозы информации).

Эти две формулы связаны следующим соотношением:

где -- общая интенсивность потока несанкционированных попыток нарушения основных свойств информации злоумышленниками.

В качестве основного критерия защищенности будем использовать коэффициент защищенности (D), показывающий относительное уменьшение риска в защищенной системе по сравнению с незащищенной системой.

, (3.3)

где Rзащ - риск в защищенной системе;

Rнез - риск в незащищенной системе.

Таким образом, в данном случае задача оптимизации выглядит следующим образом:

Для решения этой задачи сведем ее к однокритериальной посредством введения ограничений. В результате получим:

где Цзад и Пзад - заданные ограничения на стоимость системы защиты и производительность системы.

Целевая функция выбрана исходя из того, что именно она отражает основное функциональное назначение системы защиты -- обеспечение безопасности информации.

Производительность системы Псзи рассчитывается с применением моделей и методов теории массового обслуживания и теории расписаний (в зависимости от того, защищается ли система оперативной обработки, либо реального времени) [32]. На практике возможно задание ограничения по производительности (влияние на загрузку вычислительного ресурса защищаемой системы) не непосредственно в виде требуемой производительности системы, а как снижение производительности (dПсзи) информационной системы от установки системы защиты. В этом случае задача оптимизации будет выглядеть следующим образом:

или после сведения ее к однокритериальной:

где Цзад и dПзад -- заданные ограничения на стоимость системы защиты и снижение производительности.

Заметим, что на наш взгляд, именно такой принцип сведения задачи к однокритериальной целесообразен [32], т.к. в любом техническом задании на разработку системы защиты указывается, в какой мере система защиты должна оказывать влияние на производительность системы. Как правило, внедрение системы защиты не должно снижать производительность системы более чем на 10%. Кроме того, обычно вводится ограничение на стоимость системы защиты.

Если рассчитанное значение коэффициента защищенности (D) не удовлетворяет требованиям к системе защиты, то в допустимых пределах можно изменять заданные ограничения и решить задачу методом последовательного выбора уступок пример которого будет рассмотрен ниже. При этом задается приращение стоимости и снижение производительности:

Ц*зад = Цзад + Ц ,

П*зад = Пзад - П или dП*зад = dПзад + dП.

В таком виде задача решается в результате реализации итерационной процедуры путем отсеивания вариантов, не удовлетворяющих ограничительным условиям, и последующего выбора из оставшихся варианта с максимальным коэффициентом защищенности.

Теперь выразим коэффициент защищенности через параметры угроз. В общем случае в системе присутствует множество видов угроз. В этих условиях зададим следующие величины:

W - количество видов угроз, воздействующих на систему;

- стоимость (потери) от взлома i-того вида;

- интенсивность потока взломов i-того вида, соответственно;

- вероятность появления угроз i-того вида в общем потоке попыток реализации угроз, причем ;

- вероятность отражения угроз i-того вида системой защиты. Соответственно, для коэффициента потерь от взломов системы защиты имеем:

,

где Ri(p) - коэффициент потерь от взлома i-того типа; показывает, какие в среднем потери приходятся на один взлом i-того типа. Для незащищенной системы Pугр i = Qi , для защищенной системы

Pугр i = Qi*(1-pi).

Соответственно, для коэффициента потерь от взломов системы защиты в единицу времени имеем:

,

где - коэффициент потерь от взломов i-того типа в единицу времени.

Для незащищенной системы , для защищенной системы . Соответственно, из (3.3) имеем:

. (3.4)

Если в качестве исходных параметров заданы вероятности появления угроз Qi то коэффициент защищенности удобно считать через вероятности появления угроз. Если же в качестве исходных параметров заданы интенсивности потоков угроз i , то, естественно, коэффициент защищенности считается через интенсивность.

Очевидно, что при использовании любого математического метода проектирования системы защиты необходимо задавать определенные исходные параметры для оценки ее защищенности. Однако именно с этим связаны основные проблемы формализации задачи синтеза системы защиты. Поэтому мы отдельно рассмотрим основные пути решения данной задачи, рассмотрим возможные способы задания вероятностей и интенсивностей угроз.

3.4 Задание входных параметров системы для методики

3.4.1 Способы задания интенсивностей и вероятностей угроз

Основной проблемой проведения количественной оценки уровня защищенности является задание входных параметров для системы защиты -- вероятностей и интенсивностей угроз. Рассмотрим возможные способы задания вероятностей и интенсивностей угроз.

1.Метод статистической оценки i (Qi) и pi.

Основным способом задания интенсивностей потоков угроз i (вероятностей угроз Qi ) и вероятностей взломов pi является получение этих значений на основе имеющейся статистики угроз безопасности информационных систем, в которых реализуется система защиты. Если существует статистика для аналогичной информационной системы, то задавать исходные параметры для оценки защищенности можно на ее основе. При этом желательно, чтобы сходные информационные системы эксплуатировалась на предприятиях со сходной спецификой деятельности.

Однако при практической реализации такого подхода возникают следующие сложности. Во-первых должен быть собран весьма обширный материал о происшествиях в данной области. Во-вторых данный подход оправдан далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если же система сравнительно невелика и эксплуатирует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз могут оказаться недостоверными

Заметим, что статистика угроз периодически публикуется достаточно авторитетными изданиями, т.е. всегда существуют исходные данные для использования данного подхода для большинства приложений средств защиты информации. Обычно эта статистика доступна в Интернете на сайтах специализированных организаций.

Если же необходимая статистика по угрозам безопасности отсутствует, то можно воспользоваться одним из других подходов, описанных далее.

2.Оптимистически-пессимистический подход. В рамках данного подхода предусмотрено два разных способа.

Первый способ -- это способ равных интенсивностей i = , = const. При этом способе для расчета защищенности константа а может быть выбрана любой. В формуле (3.4) она будет вынесена за скобки и в конечном итоге сократится, так что защищенность в данном случае будет зависеть только от потерь:

(3.5)

Второй способ -- это способ пропорциональности потерям

i = *Ci , = const. При этом способе предполагается, что чем больше потери от взлома, тем чаще осуществляются попытки несанкционированного доступа к этой информации. То есть интенсивности потоков угроз прямо пропорциональны потерям. В этом случае защищенность будет зависеть от квадрата потерь:

(3.6)

3. Метод экспертной оценки. Экспертная оценка исходных параметров для расчета защищенности может осуществляться с использованием так называемой дельфийской группы. Дельфийская группа -- это группа экспертов, созданная в целях сбора информации из определенных источников по определенной проблеме.

При этом необходимо задать лингвистический словарь возможных оценок экспертов, определить набор вопросов и условных значений квалификаций отдельных экспертов. После определения всех входных переменных производится поочередный опрос каждого эксперта. После опроса всех экспертов с учетом их квалификации определяется общая оценка группы и согласованность (достоверность) ответов для каждого вопроса.

Эксперт оценивает эффективность (вероятность) отражения угроз элементами защиты рi и вероятность появления угроз Qi Вероятности эксперт задает лингвистическими оценками: отлично, хорошо, удовлетворительно, плохо, не отражает; вероятно, близко к нулю, близко к единице, весьма вероятно и т.п. Затем эти лингвистические оценки при помощи словаря переводятся в числа рi и Qi в диапазоне [0; 1]. В приложении А описываются дополнительные методы экспертных оценок.

Для задания вероятности появления угрозы возможна оценка вероятности появления угрозы i-того вида в общем потоке угроз:

Исходя из заданной квалификации экспертов, рассчитываются их веса (значимость) в группе по формуле:

где Se -- квалификация эксперта, задаваемая в некотором диапазоне, например, от 0 до 10 в зависимости от опыта, образования и других качеств эксперта.

Затем оценки суммируются с учетом весов экспертов:

где рie и Qie - оценка вероятностей отражения и появления

угроз, сделанные одним экспертом;

ke - «вес» эксперта в группе.

После расчета общей оценки всей группы рассчитывается согласованность ответов, которая может использоваться для оценки достоверности результатов. Согласованность рассчитывается при помощи среднеквадратического отклонения и выражается в процентах.

Максимальная согласованность достигается при одинаковых значениях оценок экспертов и в этом случае равняется 100%. Минимальная согласованность достижима при максимальном разбросе оценок экспертов.

3.4.2 Способы задания стоимости информационных ресурсов

Важнейшей характеристикой защищаемого объекта (как следствие, и системы защиты) является стоимость потерь от взлома. Рассмотрим возможные способы задания стоимости потерь. Метод позволяет установить ценность ресурсов. Ценность физических ресурсов в данном методе зависит от цены их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях:

· недоступность ресурса в течение определенного периода времени;

· разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

· нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

· модификация данных - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

· наличие ошибок, связанных с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба рекомендуется воспользоваться некоторыми из перечисленных критериев:

· ущерб репутации организации;

· нарушение действующего законодательства;

· ущерб для здоровья персонала;

· ущерб, связанный с разглашением персональных данных отдельных лиц;

· финансовые потери от разглашения информации;

· финансовые потери, связанные с восстановлением ресурсов;

· потери, связанные с невозможностью выполнения обязательств;

· дезорганизация деятельности.

1.Стоимость похищенной/искаженной/утерянной информации.

Исходные данные:

ci[грн./бит]удельная цена информации;

v[6um/c]скорость получения/искажения/уничтожения информации;

t[c]...время нахождения субъекта в системе;

Vi[6um]объем информации.

Сi =min(ci*v*tj ,ci*Vi).

2.Затраты от невозможности получения доступа к информации.

Исходные данные:

ci[грн./бит]удельная цена недоступности информации;

t[c]время восстановления системы.

Сi =ci*t.

Чтобы точнее определить ущерб в результате реализации угроз информации необходимо прибегнуть к некоторой классификации угроз и выделить тот принцип классификации который в большей мере характеризует стоимость потерь.

Существуют различные классификации угроз:

Ш по принципам и характеру воздействия на систему;

Ш по используемым техническим средствам;

Ш по целям атаки и т.п.

Очевидно, что стоимость потерь Сi удобнее задавать для угроз, классифицированных по целям атаки. Что касается характеристики интенсивности угроз, то она определяется с помощью средств аудита и сетевого мониторинга, которые различают угрозы по принципам и характеру воздействия на систему (механизму атаки, способу проникновения). Вероятность отражения угрозы средствами защиты рi определяется в соответствии с теми механизмами, которые реализованы в каждом средстве. Причем каждый из механизмов в общем случае может отражать несколько видов атак.

Таким образом, необходимо задавать соответствие между всеми этими параметрами (см. рисунок. 3.2). Для успешного приведения в соответствие различных параметров оценки защищенности необходимо корректное построение модели нарушителя. В этой модели должны быть отражены практические и теоретические возможности нарушителя, его априорные знания, время и место действия.

Рисунок 3.2. Взаимозависимость параметров защиты

Задание соответствия между стоимостью потерь и интенсивностью угроз можно осуществлять следующим образом:

1.Статистический подход. Статистический подход является основным, как обладающий большей достоверностью. Из анализа статистики можно выявить вероятности нанесения определенных видов ущерба при определенных видах взломов. Однако на практике далеко не всегда подобная статистика существует, в частности, при внедрении новых технологий защиты информации, новых версий ОС или приложений и т.д., т.к. для ее сбора требуется некоторое время. В этом случае может использоваться пессимистический подход.

2.Пессимистический подход. Если не имеется достаточной статистики, можно воспользоваться другим способом. Будем считать, что при проникновении в систему злоумышленник наносит наибольший вред, какой он только может причинить.

Именно этот подход мы используем для определения стоимости потерь в случае реализации хотя бы одной из угроз. К тому же, как показывает практика, при преодолении злоумышленником хотя бы одного из барьеров защиты, общий уровень защищенности всей системы резко снижается, что может привести к ее полной компрометации. Исходя из этих убеждений наш подход к оценке ущерба вполне обоснован, и уровень потерь будет равен максимальному при любых видах атак и нарушений.

При задании соответствия между интенсивностью угроз и вероятностью их отражения нужно учитывать, что, если в системе реализовано несколько механизмов, отражающих некоторую атаку, вероятность преодоления защиты рассчитывается следующим образом.

Если pk есть вероятность отражения i-той угрозы каждым средством защиты, то вероятность взлома системы будет:

,

а вероятность отражения угрозы системой защиты

.

3.5 Метод уступок при выборе оптимального варианта защиты

Качественная зависимость изменения основных параметров, характеризующих систему защиты, от ее сложности -- используемого набора механизмов защиты, представлена

на рисунке 3.3. Проанализировав характер зависимостей от сложности системы, можем сказать, что стоимость системы защиты возрастает неограниченно, а производительность снижается в пределе до нуля.

В то же время кривая коэффициента защищенности (D) стремится к предельному значению - к единице (100%) и в некоторый момент достигает насыщения. Это в свою очередь приводит к тому, что при дальнейшем нарастании сложности (и, соответственно, увеличении цены, а также снижении производительности) увеличение коэффициента защищенности происходит незначительно.

Следовательно, при проектировании системы защиты, параметры защищенности которой расположены в области насыщения, целесообразно проанализировать параметры альтернативных вариантов. То есть целесообразно исследовать возможность использования менее сложных систем защиты и, задав некоторый промежуток снижения коэффициента защищенности (dD), выбрать систему, уровень защищенности которой удовлетворяет полученному (D-dD). Конечно, если таковые имеются. При этом может быть получен ощутимый выигрыш в цене и производительности.

Рисунок 3.3. Пример применения метода последовательного выбора уступок

В этом и состоит применение известного метода последовательных уступок при выборе оптимальной системы защиты. Этот метод, как уже упоминалось, подразумевает сведение многокритериальной задачи оптимизации к однокритериальной.

Метод последовательных уступок представляет собою итерационную человеко-машинную процедуру, используя которую разработчик, давая допустимые приращения одним параметрам (в частности, задавая снижение коэффициента защищенности), анализирует изменение других, принимая решение о допустимости вводимых уступок.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11