Грибунин В.Г. Комплексная система защиты информации на предприятии
Подождите немного. Документ загружается.
• оценивание вариантов
синтезированной
системы.
Исходными положениями для методики синтеза является уже
существующая или проектируемая АС; известны ее архитектура и
методы взаимодействия между ее компонентами. Должна быть
задана политика безопасности обработки информации в рассмат-
риваемой АС. Также считается известным возможный набор
средств и механизмов обеспечения информационной безопасно-
сти и ограничения по основным внешним характеристикам, на-
кладываемых на АС (стоимость, производительность и т.п.). Кро-
ме того, важное значение имеет правильный выбор критерия оп-
тимальности.
9.2.
Методика синтеза СЗИ
9.2.1.
Общее описание архитектуры АС, системы
защиты информации и политики безопасности
Схематичное изображение методики построения системы за-
щиты АС представлено на рис. 9.1. Во многом оно напоминает
изображение методики, приведенной в работе [43].
Под оптимальной системой защиты будем понимать такую
совокупность методов защиты, которая обеспечивает экстремаль-
ное значение некоторой характеристики системы при ограниче-
ниях на ряд других характеристик. Рассмотрим более подробно
каждый шаг методики.
На этапе, который рассмотрен в данном подразделе, осуществ-
ляется анализ следующих аспектов АС:
• из каких сегментов и элементов состоит АС, где они разме-
щены;
• как компоненты АС взаимодействуют между собой, какие
сетевые протоколы используются и т.п.;
• какое общее, прикладное и специальное программное обес-
печение используется;
• грифы секретности, режим обработки информации в АС.
Как правило, этот анализ должен выполняться на этапе пред-
проектного обследования (в рамках проведения НИР или аван-
проекта ОКР). При этом необходимо выполнить следующий пе-
речень работ:
• определение целей и задач СЗИ;
• категорирование, оценка активов, сбор исходных данных для
проектирования;
•
анализ возможных угроз, уязвимостей, разработка модели на-
рушителя;
• неформальное описание системы защиты информации, ее
декомпозиция по отдельным СВТ и уровням ЭМВОС;
190
Общее описание архитектуры АС, ее составных элементов,
системы защиты информации и правил политики безопасности
Формализация описания системы защиты информации,
разработка формальных правил разграничения доступа
т
Формулирование требований, которым должна удовлетворять
система защиты информации для качественного выполнения
возложенных на нее функций
I
Выбор частных показателей качества СЗИ, поиск имеющихся
на рынке
СЗИ,
удовлетворяющих требованиям, и определение
необходимости создания новых
Синтез системы защиты информации на основе
многокритериальной оптимизации
Рис. 9.1. Схема методики построения системы защиты АС
• разработка неформальных правил разграничения доступа.
На основе анализа структуры и особенностей АС на вербаль-
ном уровне формулируется политика безопасности, задаются пра-
вила разграничения доступа. Эти политика и правила задают ре-
жим обработки информации, удовлетворяющий нуждам заказчи-
ка. В гл.
11
приводится пример задания таких правил.
Политика безопасности и правила разграничения доступа опре-
деляются на основе изучения дестабилизирующих факторов. Ана-
лиз причин утечки информации в АС показывает, что с учетом
архитектуры, технологии применения и условий функционирова-
ния АС полное множество дестабилизирующих факторов может
быть разделено на следующие типы:
• Количественная недостаточность системы защиты — со-
вокупность факторов, не позволяющих перекрыть известное мно-
жество каналов утечки информации путем применения существу-
ющих средств защиты, которые по своим характеристикам могут
полностью обеспечить безопасность информации в АС.
•
Качественная недостаточность системы защиты — сово-
купность факторов, не позволяющих перекрыть известное мно-
жество каналов утечки информации путем применения существу-
ющих средств защиты вследствие их несовершенства или несоот-
ветствия современному уровню развития средств несанкциониро-
ванного доступа к информации (средств технических разведок).
• Отказы — совокупность факторов, приводящих к потере си-
стемой защиты или одним из средств защиты способности вы-
полнять свои функции.
191
• Сбои — совокупность факторов, приводящих к кратковре-
менному нарушению работы средств защиты или выходу характе-
ристик их работы за допустимые интервалы значений.
• Ошибки операторов АС — совокупность факторов, приводя-
щих к нарушению технологии автоматизированной обработки ин-
формации в АС вследствие некорректных действий операторов.
• Стихийные бедствия — совокупность факторов, приводя-
щих к утечке информации вследствие физического разрушения
элементов АС при воздействии на них сил природы без участия
человека.
• Злоумышленные действия — совокупность факторов, приво-
дящих к изменению режимов функционирования АС, уничтоже-
нию, искажению или раскрытию информации в результате не-
посредственного целенаправленного воздействия нарушителя на
компоненты АС.
• Побочные явления — совокупность факторов, позволяющих
нарушителю получить доступ к информации без непосредствен-
ного воздействия на компоненты АС.
При проектировании системы защиты представляется целесо-
образным такой подход. Обеспечение безопасности информации
при отказах и стихийных действий должно достигаться за счет при-
менения резервирования. ЗИ при сбоях, ошибках операторов до-
стигается за счет постоянного мониторинга средств защиты. Основ-
ное внимание должно быть уделено злоумышленным действиям со
стороны нарушителей, для чего необходимо проанализировать воз-
можные каналы утечки информации и меры по их закрытию, обес-
печить количественное и качественное соответствие СЗИ.
9.2.2.
Формализация описания архитектуры
исследуемой АС
Согласно требованиям РД Гостехкомиссии, начиная с третьего
класса защищенности разрабатываемые СВТ должны иметь фор-
мальную модель механизма управления доступом. Наличие ана-
логичного требования для АС в целом в существующих норматив-
ных документах авторам неизвестно. Вместе с тем в соответствии
с международными стандартами (в первую очередь
17799)
такая
модель должна разрабатываться.
После неформального описания АС и правил политики без-
опасности производится формализация этого описания и правил
ПБ в терминах формальной модели безопасности, приведенной в
гл.
11.
Выявляются объекты и субъекты вычислительной сети, а также
основные операции, применимые к ним. Применение формаль-
ной модели позволяет обосновать практическую пригодность си-
192
стемы безопасности, определяя ее базовую архитектуру и исполь-
зуемые технологические решения при ее построении. В терминах
формальной модели задаются достаточные и необходимые усло-
вия выполнения политики безопасности. В итоге формируются
множества {A}, {S}, {О},
{Operate}:
всех субъектов, объектов, воз-
можных операций и «ответственных» за них администраторов. На
данном этапе проектировщик оперирует требованиями к безопас-
ной реализации субъекта, объекта и отдельной операции; их со-
вокупность позволяет сформулировать требования ко всей систе-
ме защиты.
На этапе подтверждения соответствия АС требованиям без-
опасности информации (проведения ее аттестации) испытатель-
ной лаборатории необходимо проанализировать модель СЗИ, стой-
кость предлагаемых разработчиком протоколов, а также соответ-
ствие модели реально разработанной СЗИ.
9.2.3.
Формулирование требований к системе
защиты информации
Политика безопасности интерпретируется для реальной АС и
реализуется используемыми средствами и механизмами информа-
ционной безопасности и их соответствующей настройкой. Осно-
вываясь на результатах предыдущего этапа, производится распреде-
ление функций обеспечения информационной безопасности между
субъектами и администраторами ресурсов системы. На данном
этапе целесообразна декомпозиция множеств {S}, {О},
{Operate}
по подсистемам: {S} =
{SI}
и
{S2}
и...и
{Sn}, {О} = {01} и {02}
и ... и {On},
{Operate}
=
{Operatel}
и... и
{Operaten}. В итоге каж-
дую подсистему системы защиты характеризует следующий со-
став: {Si}
и
{Oi}
и
{Operatei}.
Формулируется совокупность требо-
ваний ко всей подсистеме на основе сочетания требований к мно-
жествам {Si}, {Oi} и
{Operatei},
составляющим данную подсистему.
Среди подсистем можно выделить специализированные механиз-
мы обеспечения информационной безопасности: администратор
сети, администратор системы, администратор управления, разгра-
ничения доступом и
т.
п.
Требования, как правило, целесообразно предъявлять в виде:
«такой-то показатель качества должен быть не меньше (не больше)
допустимого при определенных ограничениях». В качестве ограни-
чений выступают обычно защищенность, стоимость, реализуемость,
потребное количество памяти и вычислительного ресурса.
Показатель качества целесообразно ввести следующим обра-
зом. Пусть злоумышленник генерирует п угроз, каждая из кото-
рой характеризуется вероятностью появления
pj
и появляющимся
при ее реализации ущербом У,, в совокупности образующими риск
7 Грибунин
1У
J
от угрозы. Пусть средства защиты информации
{х
ь
х
2
,..., х
т
}
обра-
зуют вектор из т элементов
х;
их стоимость образует вектор той
же размерности С. В результате применения
у-го
средства защиты
информации риск уменьшается на некоторую величину
Д-.
Тогда
задача синтеза оптимальной системы защиты информации может
быть сформулирована в виде
п
т
т
/•(х|С)
=
Х2>/ -*тах,
£
С, <С
Д0П
.
(9.1)
/=1
у=1
1*1
При условии независимости угроз и их аддитивности, а также
с учетом вероятностного характера устранения угроз со стороны
СЗИ
/7/
стр
получаем следующее выражение для общего предотвра-
щенного ущерба:
А=F
(pj;
j,;
рГ-
),
/
=
ГД
j
=
й,
(9.2)
где
q
t
— нанесенный
у-й
угрозой ущерб.
Рассмотрим входящие в выражение (9.2) величины. Вероят-
ность появления угрозы определяется статистически или на осно-
ве экспертного опроса. Ущерб, наносимый угрозой, может выра-
жаться в денежном эквиваленте, а также в объеме уничтоженной
(раскрытой) информации и т.п.
Наиболее сложным вопросом является определение вероятно-
сти устранения
/-й
угрозы при проектировании
у-го
СЗИ. Сдела-
ем естественное допущение, что эта вероятность определяется тем,
насколько полно учтены качественные и количественные требо-
вания к СЗИ при их проектировании, т.е.
РГ
Р=
М
Х
Л>
X
J2,-,
x
Jm
),
(9.3)
где
x
Jk
—
степень выполнения
к-то
требования ку'-му СЗИ. Требо-
вания могут быть количественные и качественные. Для количе-
ственных требований можно ввести меру, показывающую близость
требований к заданным, например среднеквадратическое откло-
нение. Для качественных требований эта мера может быть логи-
ческой: «выполнено»
—
«не выполнено» либо иметь определенные
градации, например «отлично», «хорошо», «удовлетворительно»,
«неудовлетворительно».
Можно ввести понятие относительного показателя защищен-
ности — количественной характеристики, которой могут обладать
средства защиты, систем и подсистемы безопасности. Значение
этого показателя может лежать в пределах [0,1), (уровень безопас-
ности на практике не может достигать
100
%).
В работе [49] приведены также дополнительные требования к
системе защиты информации:
1) требования к корректности реализации механизмов защиты —
определяют основополагающие принципы реализации каждого
194
механизма защиты, выполнение которых является необходимым
для разработчика средств защиты, так как это обеспечивает кор-
ректность реализации механизмов защиты;
2) требования к комплексированию механизмов защиты — опре-
деляют принципы комплексирования корректно исполненных
механизмов в единую систему защиты, выполнение которых обес-
печивает достаточность набора механизмов защиты для условий
применения системы;
3) требования по обеспечению необходимого уровня доверия
потребителя системы защиты к ее разработчику — определяют
условия, выполнением которых разработчик обеспечит необходи-
мый уровень доверия к нему, а как следствие, и к поставляемой
им системе потребителя.
Первое и третье из этих требований связаны с технологиче-
ским процессом разработки СЗИ и удовлетворяются за счет вы-
полнения разработчиком лицензионных требований ФСТЭК Рос-
сии, а также проверяются на этапе сертификации.
Требования по комплексированию формулируют условия при-
менения системы защиты. Целесообразность учета подобных тре-
бований заключается в том, что условия практического использо-
вания систем защиты могут существенно различаться. Система
защиты информации, реализующая всю совокупность механиз-
мов защиты, обеспечивающая все возможные условия ее исполь-
зования, в большинстве случаев может оказаться нерациональ-
ной.
Таким образом, данной группой требований решается задача
формирования в каждом конкретном случае использования си-
стемы защиты необходимого набора механизмов защиты, после
чего необходимо приступить к выбору СЗИ, реализующих дан-
ные механизмы.
9.2.4.
Выбор механизмов и средств защиты
информации
При принятии решения о выборе наилучшего варианта систе-
мы защиты информации в соответствии с некоторым критерием
возникает задача определения требований, предъявляемых к па-
раметрам СЗИ. Эти параметры обусловливают качество СЗИ.
Для оптимального проектирования системы защиты информа-
ции воспользуемся основными понятиями квалиметрии.
Качество — это свойство или совокупность свойств объекта,
обусловливающих его пригодность для использования по назна-
чению. Каждое из свойств объекта может быть описано с помо-
щью некоторой переменной, значение которой характеризует меру
(интенсивность) его качества относительно этого свойства. Такую
195
меру называют показателем свойства или единичным, частным
показателем качества
(ЧПК)
объекта.
Например, СЗИ каждого вида может характеризоваться таки-
ми ЧПК, как
My
= {Су, Ру, Ту, Vy, ...}, где
Су
— стоимость сред-
ства защиты; Ру — уровень защищенности;
Щ
— время на осуще-
ствление элементарной операции;
Щ
— необходимый объем опе-
ративной памяти. При необходимости проектировщики могут до-
бавлять новые ЧПК для оценки механизмов защиты.
Уровень качества объекта характеризуется значениями сово-
купности показателей его существенных — атрибутивных — свойств
(АС), т.е. свойств, необходимых для соответствия объекта его на-
значению. Эта совокупность называется показателем качества.
Показатель качества объекта — это вектор, компоненты ко-
торого есть показатели его отдельных свойств, представляющие
собой частные, единичные показатели качества объекта.
Критерий оценивания качества — это руководящее правило
(условие или совокупность условий), вытекающее из принятых
принципов оценивания, реализуемое при принятии того или иного
решения (проектного, организационного, управленческого и т.п.)
о качестве исследуемого объекта.
Для того чтобы можно было использовать показатели качества
в дальнейших математических расчетах, они должны быть выра-
жены некоторыми количественными значениями. Показатели ка-
чества подсистемы защиты складываются из показателей качества
ее элементов, т.е. СЗИ.
Показатели качества системы защиты складываются из сово-
купности характеристик подсистем. Следовательно, можно учесть
ограничения, накладываемые на систему в целом и найти опти-
мальный состав механизмов защиты для достижения требуемых
показателей эффективности системы защиты информации. Зна-
чения характеристик системы можно варьировать путем перебора
различных вариантов состава подсистем защиты.
Таким образом, для выбора СЗИ при проектировании системы
защиты необходимо:
1) определить необходимый состав механизмов защиты;
2) определить ЧПК средств защиты, реализующих эти меха-
низмы;
3) определить важность каждого ЧПК для решения общей за-
дачи защиты информации и сформировать показатели качества
СЗИ;
4) составить список имеющихся или проектируемых СЗИ и
рассчитать для них показатели качества;
5) выполнить оптимальное проектирование системы защиты.
По отношению к выбору необходимого состава механизмов
защиты в настоящее время известны различные подходы. Один из
подходов, описанный в РД Гостехкомиссии России «АС. Защита
196
от
НСД.
Классификация
АС и
требования
по
защите информа-
ции», заключается
в
жестком перечислении необходимых меха-
низмов безопасности
в
зависимости
от
класса защищенности
АС.
Этот подход имеет определенные недостатки,
в
частности:
• статичность требований
к
АС, сложность
их
технической
ре-
ализации;
•
инвариантность
к
результатам оценки рисков
и
среде эксплу-
атации
АС;
• низкая эффективность защиты;
• несогласованность
с
новой нормативной базой безопасности
изделий
ИТ
(ГОСТ
Р
ИСО/МЭК
15408-2002).
Альтернативный подход описан
в
проекте специального тех-
нического регламента
№ 45,
согласно которому
все АС
разбива-
ются
на
классы
в
зависимости
от
возможного ущерба,
к
которому
может привести нарушение безопасности информации. Ущерб
выражен
в
денежном выражении,
а
также связан
с
жизнью
и
здо-
ровьем людей. Недостатком такого подхода является сложность
определения ущерба
в
каждом конкретном случае
и
отсутствие
методик такого расчета
для
информации ограниченного распро-
странения.
Наиболее рациональный подход
к
методологии задания требо-
ваний безопасности информации
и
оценке
их
выполнения
для
АС приведен
в
стандарте
ISO/IEC
19791, который пока
еще не
переведен
на
русский язык. Этот стандарт расширяет концепцию
ГОСТ
15408
для
АС, позволяет предъявлять требования
как к ИТ-
составляющим
АС, так и не к
ИТ-составляющим.
Вместе
с тем
вне области действия
ISO/IEC
19791
находятся такие аспекты,
как:
• категорирование информации;
• категорирование
АС;
• определение необходимого уровня безопасности
АС, с
уче-
том которого должны задаваться минимально необходимые тре-
бования безопасности
АС;
• вопросы анализа рисков.
Получить значения
ЧПК
средств защиты информации обычно
не составляет труда. Например, может быть известно,
что
про-
граммный межсетевой экран стоит
1
500 р., его
применение
по-
требует
32
Мбайт системной памяти
и
займет ресурс центрально-
го процессора примерно
5 %.
Защищенность
СЗИ
может быть оце-
нена косвенно,
на
основе имеющихся данных
о
классе защищен-
ности.
Для формирования показателя качества
СЗИ
можно присвоить
каждому
ЧПК
некоторый
вес,
т. е.
ввести понятие веса, определя-
ющего
его
важность.
Для
этого могут быть использованы фор-
мальные
и
неформальные методы экспертной оценки.
Не
всегда
представляется возможным определить веса непосредственно
или
197
вычислить по известным аналитическим зависимостям. В случае,
когда значения весов невозможно получить изложенными выше
способами, необходимо использовать неформальные экспертные
оценки. Подобные методы состоят из двух этапов: сбор эксперт-
ных оценок важности ЧПК и статистическая обработка получен-
ных результатов.
9.2.5.
Определение важности параметров средств
защиты информации
Определение коэффициентов важности можно выполнить с
применением математической теории измерений. В теории изме-
рения различаются два класса и несколько подклассов измере-
ний, как это показано на рис. 9.2.
Воспользуемся для определения весов важности ЧПК СЗИ
методом Саати, который относится, согласно приведенной клас-
сификации, к методу попарных сравнений.
Метод Саати заключается в следующем.
Предположим, что результаты попарного сравнения парамет-
ров описываются отношениями их весов,
т. е.
представимы в виде
матрицы А (матрицы Саати):
A
=
\\X
i
/X
J
\\;i,jen.
(9.4)
Справедливо следующее равенство:
(А-яЕ)Л
=
0, (9.5)
где Е — единичная матрица; Л — вектор весов.
Для нахождения вектора весов необходимо решить уравнение
(9.5).
Поскольку ранг матрицы равен 1, п — единственное соб-
ственное число этой матрицы, и, следовательно, уравнение (9.5)
имеет ненулевое решение. Более того, это единственное решение,
обладающее свойством
1>,=0.
(9.6)
ы
Это решение и есть искомый вектор относительных весов па-
раметров — вектор Саати.
Рассмотрим применение данного метода на гипотетическом
примере. Пусть имеются следующие ЧПК СЗИ: С — стоимость;
П — снижение производительности системы за счет его примене-
ния; 3 — защищенность; О — требуемый объем памяти.
Выполним попарное сравнение данных ЧПК. Саати предло-
жил использовать шкалу следующего типа:
1
— равная важность критериев;
3 — умеренное превосходство одного критерия над другим;
198
Измерения
Первичные
1
1
Попарные
сравнения
1
Точечные
оценки
на шкале
1
Производственные
1
1
Функции
ценности
1
Частоты
предпочтений
Рис. 9.2. Классификация методов измерений
5 — существенное превосходство одного критерия над другим;
7 — значительное превосходство одного критерия над другим;
9 — очень сильное превосходство одного критерия над другим.
8
принципе можно разрешить использовать любые соотноше-
ния типа «в N раз больше». Эксперта просят попарно сравнить
ЧПК. Результат парных сравнений записывается в таблицу
(табл. 9.1).
Простые дроби в клетках трактуются следующим образом. На-
пример, на пересечении строки «Стоимость» и столбца «Произ-
водительность» записана дробь
г
/
х
.
Это выражает мнение экспер-
та о том, что важность ЧПК «Стоимость» в 3 раза выше ЧПК
«Производительность». Далее простые дроби переводятся в деся-
тичные и
подсчитываются
строчные суммы. Результаты отражены
в табл. 9.2.
Правый столбец табл. 9.2 получается в результате нормирова-
ния сумм по строке таким образом, чтобы их сумма в свою оче-
редь была равна 1. Для этого разделим сумму каждой строки на
27,6 (сумма последнего столбца, т.
е.
сумма самих строчных сумм).
В результате нормировки получаем оценки важности для всех
ЧПК. Отметим, что полученные оценки отражают исключитель-
но точку зрения конкретного эксперта. На самом деле, вместо
строчных сумм Саати рекомендует использовать собственный век-
тор матрицы парных сравнений, считая его более точной оцен-
Таблица 9.1. Предпочтения эксперта при попарном
сравнении ЧПК
ЧПК
с
п
3
0
с
1/1
1/3
1/1
1/8
П
3/1
1/1
3/1
1/3
3
1/1
1/3
1/1
1/7
О
8/1
3/1
7/1
1/1
199