1.3. Сучасні методи й засоби оцінки стану безпеки

Стан безпеки інформації - найважливіша характеристика ІКС, від якої значною мірою залежить рівень довіри (РД) користувача до наданих системою функціям і ресурсам. Забезпечення потрібного рівня такого стану нерозривно пов'язане з реалізацією ряду заходів, які можна поділити на чотири основні групи [21]: 1 ( аналіз погроз; 2 ( розробка, вибір і застосування заходів і засобів безпеки, адекватних погрозам; 3 ( їхня сертифікація й акредитація; 4 ( планування й організація дій у непередбачених обставинах. Розробка методів і засобів, які забезпечують ефективність цих заходів, пов'язана з реалізацією різного виду оцінок, наприклад, для виміру рівня ризику, захищеності, гарантій або вибору оптимального варіанта системи захисту й т.п.

Розглянемо методи й засоби, які використаються в теорії й практиці інформаційної безпеки для рішення деяких завдань такого класу.

Відома узагальнена послідовність виміру безпеки [20], що включає узагальнені нижчеподані кроки.

Крок 1. Формулювання вимог і підходів, включаючи вимоги забезпечення необхідного рівня безпеки.

Крок 2. Використання обраних методів виміру.

Крок 3. Інтерпретація результатів.

Крок 4. Визначення відповідності обмірюваного рівня безпеки необхідному.

З наведених кроків видно, що дана послідовність не орієнтована на використання конкретних методів, моделей і пристроїв.

Відома також модель поводження потенційного порушника, що здійснює НСД до будь-якої частини зберігаємої, оброблюваної і переданої в ІКС інформації якій потрібен захист. У моделі передбачається шість найнебезпечніших ситуацій, щодо яких можна встановити набори вихідних даних (ВД), необхідних для створення системи захисту, а також визначити основні способи її побудови.

Далі для оцінки рівня захищеності інформації, що обробляється в конкретній (з урахуванням специфіки) ІКС, пропонується послідовно вирішити заданий набір завдань. Для цього попередньо треба визначитися з початковими умовами, що містять моделі очікуваного поводження порушника, вибір яких впливає на кінцевий результат оцінювання захищеності. Під час побудови моделей розглядаються еталонний і диференційований підходи, які відповідно орієнтовані тільки на професіонала й на заздалегідь певну кваліфікацію порушника.

При диференційованому підході порушників розділяють на чотири класи (висококваліфікований, кваліфікований, некваліфікований і недисциплінований користувач), кожному з яких у комплексі засобів обробки даних в ИКС буде відповідати певний набір можливих каналів НСД.

Виходячи з моделі поводження потенційного порушника і його класу, автор пропонує взяти за основу чотири класи безпеки, а для забезпечення кожного з них необхідно забезпечити ІКС набором відповідних засобів захисту, які перекривають заздалегідь відомі безлічі можливих каналів НСД. Після цього вважається, що побудовано закритий захисний контур. Рівень захищеності в границях класу визначається кількісними показниками “міцності” окремих фрагментів захисту й контуру в цілому.

Нижчеподані показники захищеності носять імовірнісний характер, а їх величини залежать від “міцності” найбільш слабкої ланки. Імовірність неподолання порушником перешкоди з урахуванням можливої відмови системи (Р) визначають за формулою

Р = Рв. _бл(1 Р_отк) (1 Р_обх1) (1 Р_обх2) … (1 Р_обхj),

де Рв. бл = (1  Рпр) – імовірність виявлення й блокування несанкціонованих дій порушника, Ротк(t) = e-t  імовірність відмови системи, Робх – імовірність обходу перешкоди порушником, j – кількість шляхів обходу перешкоди, Рпр  імовірність подолання перешкоди порушником.

Для неконтрольованих можливих каналів НСД розрахунок здійснюється за виразом

Р_СЗИ = (1 Р_пр) (1 Р_обх1) (1 Р_обх2)… (1 Р_обхj).

У випадку, коли канали закриті двома й більше засобами захисту, розрахунок виконують за формулою

,

де і – порядковий номер перешкоди; m – кількість дублюючих перешкод; P_i – “міцність” i-го перешкоди.

Слід зазначити, що вищеописаний підхід до оцінювання захищеності, запропонований у роботі [21], передбачає початкові умови, які задаються в технічному завданні на КС обробки даних, де й обмовляється модель порушника, тобто засобу захисту від порушників певного класу вже визначені на етапі проектування й фактично виконується оцінювання їх “міцності”. У такому підході не передбачений випадок, коли оцінювання необхідно виконувати у вже функціонуючих системах й, тим більше, в умовах невизначеності. Наприклад, якщо заздалегідь невідомо як буде організований захист, які засоби будуть використатися і як буде здійснюватися обробка параметрів, що надходять у нечіткій формі.

У роботі [21] запропонований метод експертних оцінок безпеки, у якому розглядається система, що забезпечує захист відносно n-го числа характеристик. Ці характеристики є перетинанням набору засобів захисту. Якщо ці засоби використаються спільно, то збільшується ступінь забезпечення безпеки КС. Для кількісного оцінювання цього ступеня вводиться деяка “гарна міра” Gi характеристики Fi. Уважається, що якщо Gi=0, то характеристики Fi система не має.

Далі використається суб'єктивний ваговий коефіцієнт важливості (КВ) Wi, привласнений характеристиці Fi деяким експертом (експертами). При цьому повинні витримуватись умови 0Gіі Wi  для 1іn.

Для визначення ступеня безпеки (SR) КС на підставі вже певних параметрів використається лінійний метод “зважування й підрахунку”, що представляється рівнянням

SR = .

У методі заздалегідь обумовлюється, що наведена формула деякою мірою суперечить положенню про визначення “міцності системи захисту міцністю її найбільш слабкої ланки”, і показано, що для ідеально безпечної системи SR=1, а для цілком незахищеної SR=0.

Далі зазначено, що експертні оцінювання безпеки можуть бути дуже корисними, а визначення КВ й якості характеристик, мабуть, завжди залишиться суб'єктивним.

У роботі [21] як засіб визначення стану безпеки запропонована експертна система для оцінювання рівня інформаційної захищеності об'єктів. Указується, що вона дозволяє в діалоговому режимі визначити характеристики об'єкта, у границях якого інформація повинна бути захищена. Система містить базу знань, на основі якої можна оцінити погрозу інформації й вибрати організаційні й технічні засоби, які підвищують ефективність захисту до потрібного рівня. У процесі розробки системи були побудовані алгоритми оцінки рівня погроз і реалізоване відповідне ПЗ, але нічого не сказано про те, які методи й моделі були використані.

Існує набір інструментальних програмних засобів аналізу ступеня ризику на підставі попередньо зібраної інформації [20]. Ці засоби аналізують відносини між цінностями, погрозами, уразливими місцями, захисними засобами, заходами, імовірностями різних подій і т.п. з метою визначення потенційних втрат. Автори цих розробок тільки вказують, що вимір втрат заснований на методах послідовних наближень, НЛ, а також використання дерева подій і помилок.

У відомих програмних продуктах, таких як @RISK, ALRAM (Automated Livermore Risk Analysis Methodology), BDSS (Bayesian Desicion Support System), LRAM (Livermore Risk Analysis Methodology) і інших, для оцінки ризику застосовують традиційні кількісні методи, які використають для знаходження очікуваного річного збитку. Його пошук здійснюється через оцінювання для всіх компонентів ИКС частоти подій, які порушують характеристики безпеки.

Відзначається, що частина інструментальних засобів орієнтована на оцінювання збитку від одиночної погрози, а інша ґрунтується на інформації про безпеку, що використається для точних й умоглядних висновків.

Далі сказано, що такі інструментальні засоби аналізу ступеня ризику, як BUDDY SYSTEM, CONTROL-IT, CRAMM і т.п., ґрунтуються на якісному підході й ефективно застосовуються у випадку, коли потенційна втрата непомітна, а ризик не можна виразити в грошовому еквіваленті. При такому підході результати ризику виражаються в лінгвістичній формі, наприклад, “немає ризику” або “дуже великий ризик”.

Відзначимо, що прихильники кількісного підходу, аналізуючи ступінь ризику, дотримуються тієї позиції, що ефективність засобів захисту щодо втрат не можна оцінити, якщо немає кількісних показників ступеня ризику. Прихильники ж якісного підходу затверджують, що кількісні методи вимагають виконання точних оцінок, навіть у тому випадку, коли інформація неповна, розмита або навіть не цілком достовірна.

Слід зазначити, що в роботі [21] не наведено конкретних методологій, моделей і математичних викладень, які є основою побудови описаних систем оцінки ризику, але досить добре описані деякі методи, які знайшли своє застосування в теорії інформаційної безпеки, наприклад, ранжирування погроз на підставі дельфийских списків, під якими мається на увазі група експертів, що збирає інформацію в межах проблемної області.

Дельфийска команда - це основа комп'ютеризованих експертних систем, оскільки на базі їхніх знань формуються продукційні правила, які моделюють ухвалення рішення людиною. Команди формуються виходячи з компетентності в досліджуваній області знань конкретної системи, рівня информированности про стан справ, практичного досвіду й ін. з метою об'єднання суджень експертів для досягнення певного консенсусу.

Для оцінювання ризику команда визначає безліч погроз із метою їхнього ранжирування по ступені небезпеки. Далі судження членів команди інтегруються й генерується колективне рішення про небезпеку погроз, відображуване в упорядкованому по зменьшенню списку. В основу формування такого списку можуть бути покладені різні принципи, наприклад, найбільший ризик, рівень таємності, вартість, трудомісткість, наслідки, збитки, імовірність виникнення й т.п. Часто впорядкування робить одна особа, діючи при цьому як дельфийская команда.

Далі в роботі описуються просте, кардинальне й відносне ранжирування ризику.

По методу простого ранжирування всі можливі погрози, уразливі місця та інші характеристики, які становлять основу критеріїв при прийнятті рішень, розставляються в зменьшувальний ряд, тобто найнебезпечніші або найбільш важливі елементи перебувають на початку списку, а менш значущі наприкінці.

Метод кардинального ранжирування ґрунтується на тім, що кожній погрозі в результаті її впливу привласнюється конкретне числове значення, певне сумою збитку. Такий метод, як правило, використає категорії високого, середнього й низького ризиків.

При відносному ранжируванні будь-який список заносять у таблицю, по якій будують трикутну матрицю. Після цього переходять до простого ранжирування, а отримана матриця стає моделлю рішення.

Такий метод істотно спрощує консолідацію суджень завдяки можливості порівняння окремо взятої погрози з тими, які залишилися. Для полегшення ухвалення рішення корисної виявляється можливість порівняння двох погроз, ігноруючи всі інших.

Важлива перевага методу відносного ранжирування ризику полягає в тому, що немає потреби в ухваленні єдиного рішення, тобто експерт групи може віддати голос за одну із двох погроз або розділити його, наприклад, на рівнозначні частини (0,5 голосу на погрозу).

У роботі [21] автор, розкриваючи поняття захищеної системи, дотримується позиції, що безпека є якісною характеристикою системи, у результаті чого виникають труднощі щодо її виміру в будь-яких одиницях і потім порівняння безпеки, наприклад, двох систем.

Не можна також не враховувати той факт, що ухвалення рішення при експертизі залежить від суб'єктивних суджень експерта, його знань і досвіду. Зменшити негативний вплив цього фактора можна за рахунок розвитку відповідного методичного й наукового забезпечення. Із проведеного аналізу також випливає, що в області інформаційної безпеки недостатня теоретична база, яку можна застосовувати для рішення завдань якісної оцінки. Це особливо важливо тоді, коли немає повної інформації про систему, а ІД, які підлягають обробці, задані нечітко (розмито) і часто пов'язані із судженнями й інтуїцією людини.

Для роботи з нечітко детермінованими величинами, як правило, застосовують апарат теорії НМ, що оперує такими поняттями, як НМ, нечіткі (НП) або лінгвістичні змінні (ЛП), нечіткі відносини й ін.

Розділ 2. Інформаційні характеристики мовних повідомлень