3.5. Модели оценки ущерба от реализации угроз безопасности информации

Уязвимость информации не определяется только вероятностя­ми проявления тех или иных угроз. Совершенно очевидно, что с другой стороны она характеризуется возможным ущербом, который будет иметь место в случае их реализации.

Вопрос оценки ущерба представляет на сегодняшний день наи­более сложную задачу, практически не поддающуюся формализа­ции и решаемую только с использованием методов экспертных оценок. При этом в целях формирования прогнозных оценок ущер­ба можно с успехом применять описанную нами выше технологию формализации профессиональных знаний, опирающуюся на неко­торые модели, которые могут составить первоначальную базу мо­делей, в дальнейшем уточняемую и видоизменяемую экспертом.

Исходной посылкой при разработке этих моделей может явить­ся очевидное предположение, что полная ожидаемая стоимость защиты информации может быть выражена суммой расходов на защиту и потерь от ее нарушения. В работе [3] В.А. Герасименко показал, что при этом подходе оптимальным решением было бы выделение на защиту информации средств в размере C_opt (см. рис. 3.7), поскольку именно при этом обеспечивается минимизация об­щей стоимости защиты информации.

Поскольку, как видно из рис 3.7, при оптимальном решении це­лесообразный уровень затрат на защиту равен уровню ожидаемых потерь при нарушении защищенности, то для оценки суммарных затрат, достаточно определить только уровень потерь.

Для решения этой задачи профессором В.А. Герасименко в [3] был использован подход, основанный на динамической модели оценки потенциальных угроз. Рассмотрим его более подробно.

Допустим, что проявление угрозы рассматриваемого типа ха­рактеризуется случайной переменной \ с распределением веро­ятностей f(X). Заметим, что функция распределения f(k) должна определяться на основе обработки данных о фактах реального проявления угроз этого типа, которая проводится экспертом с обя­зательной оценкой достоверности используемой информации (см. предыдущий параграф).

Если рассматривать проявление данной угрозы в течение опре­деленного периода времени, то числу этих проявлений ~_г будет соответствовать распределение вероятностей f(r/A), которое может быть выражено функцией распределения Пуассона:

Уровень защищенности

Рис. 3.7. Стоимостные зависимости защиты информации: 1 - ожидаемая полная стоимость; 2 - стоимость защиты; 3 - уровень ущерба

■At

(Xt)re г!

(3.27)

Р(Г = Г/Х)-

где t- период времени, за который определены значения г.

По ряду значений г_ь г₂,.г„ функция f(k), может быть выражена функцией гамма-распределения

f(X/a,b)-

(3.28)

Ь^аХ^а-'е^ьх (а- V!

где а и Ь параметры распределения, определяемые по рекурент- ным зависимостям:

-I

(3.29)

а = а + ij + г₂ + ... + г, Ь* = Ь' + Г, + f₂ +... + t_n

где Г|,Г₂ ,...,г_п - число проявлении рассматриваемой угрозы в пе­риоды наблюдения f₁₍f₂ t_n

(3.30)

Далее отметим, что безусловное распределение вероятностей проявления угроз за период времени t может быть представлено в виде:

f(r/a,b,t) = jf(r/Xt)f(X/a,b)dk.

Тогда результирующее распределение

f_nb(r/P,a)=⁽-~^P^r(UP). (3.31)

Количество проявлений угроз при этом характеризуется мате­матическим ожиданием

E(r/t) = ~ (3.32)

Ь

и дисперсией

b(t + b)

Таким образом, мы описали вероятности проявления угроз. Для того, чтобы оценить ущерб от проявления угроз, рассмотрим для начала средние оценки ущерба, для которых может быть принята нормальная функция распределения с параметрами т и V:

f(m,V/m'V',n,k')=f_n(m/m',V)f_g(V/V',x'). (3.34)

где f_n(...)и f_g(...) - функции нормального и гамма-распределений

вероятностей; п' и %' - параметры нормального и гамма распреде­лений.

(3.35)

Если в заданный период времени имеет место г проявлений рассматриваемой угрозы, которые приводят к ущербу х₂, ...х_г соответственно, то параметры распределения вероятностей ожи­даемых потерь корректируются следующим образом:

, п'т'+гх _v, ₌ уУ'п(т')² + (г -1 )S² + rx²- п"( т")²

Х+2

где n" = n' + r;x+r; x = ^_jx,/r;^_j(x_i-xf /{r-\).

Выделим далее неопределенные параметры т и V из функции распределения вероятностей для стоимости проявления угрозы данного типа. Тем самым будет получено прогнозируемое распре­деление для ущерба от возможного проявления рассматриваемой угрозы

f_s(x/rrf,VY)= J Jf(x/m,V)f(m/rrf,V',V)f_s(V/V',%)dmdV,

где ^fs(-) - член семейства распределения Стьюдента.

X -2

Ожидаемое изменение значения* определяется параметрами:

Е(х) = т";

(3.37)

Ожидаемые полные затраты в условиях проявления рассматри­ваемой угрозы Ci определяются по формуле:

(3.38)

Поскольку полные затраты в условиях проявления угроз явля­ются случайными величинами (из-за случайного характера нано­симого ущерба), то для их оценки необходимо знание соответст­вующей функции распределения вероятностей.

Таким образом, если бы существовали систематизированные статистические данные о проявлениях угроз и их последствиях, то рассмотренную модель, почерпнутую нами из работы [3], можно было бы использовать для решения достаточно широкого круга задач защиты информации. Более того, эта модель позволяет не только находить нужные решения, но и оценивать их точность, что, как подчеркивалось выше, имеет принципиальное значение. К со­жалению, в силу ряда объективных и субъективных причин такая статистика в настоящее время практически отсутствует, что делает особо актуальной организацию непрерывного и регулярного сбора и обработки данных о проявлениях угроз, охватывающих возможно большее число реальных ситуаций.

(3.36)

Рассмотренная выше модель может быть сформулирована и в терминах теории игр. Предположим, что злоумышленник затрачи­вает х средств с целью преодоления защиты, на создание которой израсходовано У средств. В результате он может получить защи­щаемую информацию, количество которой оценивается функцей 1(^Х>У). Положим далее, что Я^п) - есть ценность для злоумышленни- ка^единиц информации, a 9iⁿ) - суммарные затраты на создание

этого же числа единиц информации. Тогда чистая прибыль зло­умышленника

V(x,y)=f[l(x,y)]-x, (3 39)

а потери собственника информации

и(х,у)=д\1(х,у)]+у. (3 40)

В соответствии с известными правилами теории игр оптималь­ные стратегии обеих сторон могут быть определены из условий:

1 dl(x,y)

Г[1(ку)]^ = 1; dx

= -1.

dy

(3.41)

Для практического использования этой модели необходимо оп­ределить стоимость информации, а также задать функции /, f и д, что в условиях отсутствия необходимого объема статистических данных является практически неразрешимой проблемой, если опи­раться на формальные методы.

Таким образом, мы снова вынуждены возвращаться к описан­ным выше приемам автоформализации знаний, которые составля­ют основу методологического базиса теории защиты информации.

Рассмотренные нами подходы и модели позволяют в общем случае определять текущие и прогнозировать будущие значения показателей уязвимости информации. Необходимо только сделать некоторые существенные замечания относительно их адекватно­сти. Во-первых, практически все приведенные нами модели по­строены в предположении независимости случайных событий, со­вокупности которых образуют сложные процессы защиты инфор­мации, а во-вторых - для обеспечения работы моделей необходи­мы исходные данные, формирование которых при отсутствии дос­товерной статистики сопряжено с большими трудностями.

Таким образом, при использовании этих моделей фактически делаются следующие допущения:

• возможности проявления каждой из потенциальных угроз не зависят от проявления других;

• каждый из злоумышленников действует независимо от других, т.е. не учитываются возможности формирования коалиции зло­умышленников;

• негативное воздействие на информацию каждой из проявив­шихся угроз не зависит от такого же воздействия других проявив­шихся угроз;

• негативное воздействие проявившихся угроз на информацию в одном каком-либо элементе системы может привести лишь к по­ступлению на входы связанных с ним элементов искаженной ин­формации с нарушенной защищенностью и не оказывает влияния на такое же воздействие на информацию в самих этих элементах;

• каждое из используемых средств защиты оказывает нейтра­лизующее воздействие на проявившиеся угрозы и восстанавли­вающее воздействие на информацию независимо от такого же воздействия других средств защиты;

• благоприятное воздействие средств защиты в одном элемен­те системы лишь снижает вероятность поступления на входы свя­занных с ним элементов искаженной информации и не влияет на уровень защищенности информации в самих этих элементах.

В действительности же события, перечисленные выше, являют­ся зависимыми, хотя степень зависимости различна - от незначи­тельной, которой вполне можно пренебречь, до существенной, ко­торую необходимо учитывать. Однако строго формальное решение данной задачи в силу приводившихся нами выше причин в настоя­щее время невозможно, поэтому остаются лишь методы эксперт­ных оценок и в частности, технология автоформализации знаний эксперта.

Что касается обеспечения моделей необходимыми исходными данными, то как неоднократно отмечалось, практическое использо­вание любых предлагаемых моделей оценки уязвимости упирается в ограничения, связанные с неполнотой и недостоверностью ис­ходных данных. В связи с этим отметим, что материалы данной главы, посвященные оценке и корректировке достоверности интег­рированной базы данных моделирования, дают необходимый ин­струментарий для работы экспертов-аналитиков.

Вообще, правильно поставленная работа с исходными данными в условиях высокой степени их неопределенности является ключе­вым моментом в решении любых задач, связанных с обеспечением информационной безопасности. Поэтому проблема заключается не просто в формировании необходимых данных, а в перманентном их оценивании и уточнении. Поскольку экспертные оценки и техно­логия автоформализации знаний в этих условиях становятся одни­ми из основных методов решения основных задач защиты инфор­мации, а адекватность экспертных оценок существенно зависит от объема их выборки, то необходима организация и перманентное осуществление массовой экспертизы в системе органов, ответст­венных за защиту информации. Существо концепции такой экспер­тизы будет рассмотрено в гл. 6.

Краткие выводы

1. Обоснование структуры и содержания системы показателей уязвимости информации, исследование влияния на них различ­ных параметров угроз, разработка комплекса моделей и методо­логии адекватной оценки реальной уязвимости могут быть выпол­нены на основе системной классификации угроз, проведенной по следующим параметрам: виды угроз, происхождение угроз, пред­посылки появления угроз, источники угроз. Перечисленные пара­метры находятся в сложных взаимосвязях, учет которых необхо­дим для построения адекватных моделей, описывающих процессы нарушения целостности и защиты информации.

2. Основными параметрами, определяющими вероятность на­рушения защищенности информации, являются: количество и типы структурных компонентов системы, количество и типы случайных дестабилизирующих факторов, количество и типы злоумышленных дестабилизирующих факторов, число и категории нарушителей, виды защищаемой информации.

Из множества разновидностей различных показателей уязвимо­сти информации целесообразно выделить два показателя: первый (базовый) характеризует уязвимость в одном структурном компо­ненте системы при однократном проявлении одного дестабилизи­рующего фактора и относительно одного потенциального наруши­теля, второй (общий) - уязвимость информации в целом по всем потенциально возможным дестабилизирующим факторам относи­тельно всех потенциально возможных нарушителей. Все другие показатели являются частично обобщенными.

Для практического решения задач защиты информации могут быть также использованы показатели, характеризующие наиболее неблагоприятные ситуации (экстремальные показатели): самый уязвимый структурный компонент системы, самый опасный деста­билизирующий фактор, самый опасный нарушитель.

3. Одной из наиболее принципиальных особенностей проблемы защиты информации является абсолютный характер требования полноты выявленных угроз. При этом формирование полного мно­жества угроз является ярко выраженной неструктуризованной про­блемой.

Для первоначального формирования возможно более полного множества угроз целесообразно использовать различные модифи­кации экспертных оценок. Наиболее эффективными здесь оказы­ваются методы, основанные на технологии автоформализации знаний эксперта.

4. Рассмотренные в гл. 3 модели, а также модели, предлагае­мые в других источниках (см., например, [3]), в общем случае по­зволяют определять текущие и прогнозировать будущие значения тех или иных показателей уязвимости информации в различных ситуациях функционирования систем и объектов. Однако все эти модели, построены в предположении независимости случайных событий, совокупности которых образуют сложные процессы защи­ты информации, а для обеспечения их работы необходимы исход­ные данные, систематизация и обобщение подавляющего боль­шинства которых должны базироваться на сети центров защиты информации, организующих проведение массовой экспертизы.

Глава четвертая

ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ