2.2 Дослідження небезпечних чинників

Перед тим як будувати математичну модель необхідно окреслити об’єкт моделювання або його ідентифікувати. Відповідно, першим кроком проектування є ідентифікація характеристик об’єкта. В даному випадку такими характеристиками є небезпечні фактори, що впливають на об’єкт захисту. Діяльність з проектування СЗІ направлена на зменшення впливу цих факторів.

Ідентифікація передбачає визначення множини факторів, які впливають на об’єкт та кількісне оцінювання цього впливу. Якщо для визначення переліку небезпечних чинників можна користуватися діючими міжнародними, регіональними, державними стандартами та нормативними документами, то визначення значущості їх впливу на конкретний об’єкт є більш складною задачею, яка має розв’язуватись безпосередньо людиною, яка проектує КСІБ.

Розрізняють такі методи визначення значущості впливу небезпечних чинників залежно від використовуваного джерела інформації:

• статистичний метод;

• метод експертного опитування;

• їх комбінація.

Статистичний метод передбачає використання наявної статистики загроз та злочинів в галузі інформаційної безпеки, що проводяться декількома підприємствами, аналітичні звіти у фахових виданнях. До таких підприємств, що проводить моніторинг комп’ютерних злочинів належить, наприклад, InfoWatch, яка входить в групу компаній "Лабораторія Касперського". При використанні статистики проблемним питанням є визначення її адекватності. Тобто підприємства, на яких відбувався моніторинг, повинні бути аналогічні до об’єкту захисту. Також варто звертати увагу на методи збору статистики, що характеризується обсягом та структурою вибірки, статистичною похибкою, методами реєстрації фактів та іншою інформацією, якою супроводжуються статистичні показники. Якщо такі не зазначені, то не варто користуватися такою статистикою для визначення кількісних властивостей небезпечних чинників. Єдине, що можна використати з такої статистики – це назви небезпечних факторів. Крім того, варто пам’ятати, що з часом статистика втрачає актуальність, а в галузі інформаційної безпеки цей процес відбувається вельми швидко – за два роки принципово змінюються як небезпечні фактори, так і наслідки, які вони можуть спричинити.

Часто адекватної статистичної інформації бракує для ідентифікації небезпечних чинників. В таких випадках залучення експертів до визначення та оцінювання небезпечних чинників. За допомогою нечітких множин експерт може "розмити" доступні статистичні оцінки з метою її корегування, або адаптації для даного об’єкту захисту.

2.3 Визначення математичного апарату

У зв’язку з тим, що далеко не кожний об’єкт захисту можна перевірити на стійкість в фізичному світі, використовують моделі цих об’єктів, а результати моделювання згодом переносять у фізичний світ. Очевидно, що на етапі проектування взагалі неможливо що-небудь перевірити в "реальному" житті, оскільки об’єкт ще не створений. Відповідно використовують різні математичні моделі для відображення об’єктів, що моделюються. Саме тому визначення математичного апарату, що адекватно відображатиме ще не спроектований об’єкт, є складною задачею. При проектування КСІБ ця задача частково спрощується завдяки вже розробленим методичним основам і нормативним актам, в яких вже визначені цільові властивості майбутньої СЗІ.

Навіть ІС, що вже існує, є достатньо складним об’єктом для моделювання, що обумовлено неоднорідністю природи її складових частин (програмне забезпечення, технічні засоби, спеціалізований персонал, організаційні заходи, нормативне та правове забезпечення), кожна з яких має вже розроблені підходи до моделювання об’єктів цієї природи. Крім того значно впливає людський фактор. Це є причиною того, що при моделюванні СЗІ доцільно виконувати її декомпозицію, тобто розбиття "неоднорідної" системи на більш однорідні за своєю природою підсистеми. Потім для кожної підсистеми можливе застосування різних математичних апаратів за допомогою яких будуть формалізовані певні підсистеми СЗІ. У випадку, коли об’єкт проектування є великим, можливо декілька етапів декомпозиції. Однак надмірна декомпозиція може стати причиною того, що об’єкт моделювання втратить деякі зв’язки між підсистемами, а тому втратиться і адекватність отриманої моделі. Іншими словами завжди потрібно пам’ятати, що моделювання об’єктів інформаційного середовища, як і моделювання взагалі, значною мірою є мистецтвом розробника і саме він несе відповідальність за врахування нюансів, що впливають на забезпечення адекватності моделі об’єкту.

Для зменшення людського фактору в моделі з боку розробника йому рекомендується всі свої дії на всьому етапі проектування по можливості аргументувати, навіть, для самого себе. Останнє дозволить згодом виявити допущені помилки або перевірити достатність аргументації для представлення її замовнику. Для того, щоб синтез моделей підсистем дозволив отримати модель усієї системи необхідно, щоб моделювання відбувалося відповідно до певного інтегрального критерію. Для СЗІ таким критерієм може бути ризик.

Серед найбільш популярних математичних апаратів, що використовуються для моделювання є такі:

• ймовірнісне моделювання;

• логіко-ймовірнісне моделювання;

• правила логічного висловлювання.

Ймовірнісні моделі пов’язані з формулою повної ймовірності Баєса та ланцюгами Маркова

Для ймовірнісних моделей рекомендується згрупувати ідентифіковані небезпечні чинники відповідно до критичних інформаційних потоків та/або ресурсів, яким вони загрожують. Визначивши частку документообігу, що припадає на кожен потік необхідно розрахувати ймовірність появи загрози для даного потоку/ресурсу за формулою повної ймовірності.

Очевидно, що деякі атаки бувають комплексними, або можуть розгортатися декількома сценаріями. Для таких випадків рекомендується використовувати ланцюги Маркова, щоб врахувати процес реалізації атаки, а відтак і визначити шляхи обчислення ймовірності цієї атаки.

Правила логічного висловлювання

Правила логічного висловлювання є набором правил виду "Якщо {… або … або …} і {… або … або …} … то … ". Відповідно для КСІБ ці правила мають вигляд "Якщо загроза1=оцінка2 І загроза2=оцінка4 то загроза3=оцінка3". Модель отримують шляхом визначення повного набору вхідних даних та зіставлення цьому набору вихідного значення.

Модель стану інформаційної захищеності може бути розбита на сукупність проміжних подій аналогічно до логіко-ймовірнісної моделі з метою спрощення для розробника генерування набору правил за якими визначатиметься загальний стан захищеності.

Логіко-ймовірнісне моделювання

Метод моделювання за допомогою дерев ризику-відмов полягає в тому, що загрози інформаційній безпеці об’єкту, захищеність якого оцінюють, представляють у вигляді дерева подій, яке будують шляхом аналізу загроз інформаційній безпеці підприємства. Розглянемо детальніше процес побудови моделі об’єкту.

Розрізняють три типи подій: складні, базові, ті, що задаються (притаманні системі). Складними подіями вважають ті, що можна розписати на декілька подій, встановивши логіку їх зв’язку зі складною, батьківською подією. Логічний зв’язок може бути кон’юнктивним або диз’юнктивним.

Базовими вважаються такі події, подальша деталізація яких неможлива, або є недоцільною з точки зору експерта. Подіями, що задаються вважаються події, які повністю розписати неможливо, що може бути обумовлено значною кількістю подій, які можуть спричинити появу даної, або складністю, що виникає при визначенні множини подій, які впливають на появу даної тощо.

Дана класифікація є досить умовною, оскільки, в більшості випадків, експерт (розробник моделі) повинен приймати рішення щодо визначення типу даної події, на що також впливає і ступінь деталізації при побудові моделі. Надмірна деталізація спричинить складність визначення всіх базових подій, впливом яких в конкретних умовах можна знехтувати. Так немає необхідності оцінювати ймовірність всіх стихійних лих, що можуть привести до руйнування фізичних носіїв інформації, якщо переважна більшість з множини всіх стихійних лих може бути не характерною для місцевості, де розташовується об’єкт. Водночас недостатня деталізація не дозволить визначити конкретні слабкі ланки в системі захисту інформації об’єкту.

Вершиною дерева повинна бути загальна оцінка загроз інформаційній безпеці об’єкту, або конкретної ланки, в залежності від мети моделювання. Очевидно, що вершинна подія належить до складних подій. Після вершинного визначається наступний рівень подій, які безпосередньо впливають на вершинну подію. Після визначення даних подій визначають, які з даних подій є складними. Визначивши це, їх аналогічно розписують у вигляді подій. Дерево вважається завершеним, коли всі складні події виражені за допомогою базових подій або подій, що задаються.

Після того, як дерево було побудовано, відбувається визначення ймовірності виникнення цих подій.

Наступним етапом є розрахунок ймовірностей появи складних подій, починаючи з найнижчого рівня. Результатом даного етапу буде ймовірність появи головної події, тобто оцінка інформаційної безпеки.

Розглянемо детальніше математичний апарат для розрахунку даним методом ймовірності появи складних подій. Оскільки даний метод розроблявся для розрахунків з чіткими оцінками базових подій, які можуть бути отримані, як за допомогою експерта, так і відомі зі статистики появи даних подій на об’єктах, що мають схожі риси з об’єктом, інформаційна безпека якого розраховується.

Розрахунок відбувається за допомогою математичного апарату теорії ймовірності, тобто оцінка кожної події , де і – номер події, причому , де N – загальна кількість подій, що входять до складу конкретного дерева ризиків-відмов.

Розрахунок дерева починається з найнижчого рівня, тому при розрахунку кожного наступного рівня ймовірності подій, за допомогою яких деталізуються складні події даного рівня, відомі.

Введемо наступні позначення n – кількість подій, якими розписується і-та складна подія рівня k. Можливі наступні типи зв’язків:

- кон’юнктивний;

- диз’юнктивний.

Тому для операції логічного "І" – кон’юнктивного зв’язку ймовірність P_ik розраховується за формулою:

Для операції логічного "АБО" – диз’юнкції розрахунок буде вестися за такою формулою:

Перед тим, як перейти до розгляду розрахунку ймовірностей складних подій з нечіткими вхідними даними розглянемо основи теорії нечітких множин з метою уніфікації термінології.

Оскільки системи захисту інформації є складними системами, тому часто їх складно формалізувати у вигляді ймовірнісної або логіко-ймовірнісної моделі. Для цього використовують правила логічного висловлювання або нейронні мережі