3.2. Воздействие угроз на объект защиты

Далее рассмотрим некоторые аспекты взаимосвязи между объектами защиты и угрозами. Для начала выделим правовые угрозы вместе с субъектами права (таблица). Правовой угрозой будем считать потенциальные или реальные действия субъекта (злоумышленника), приводящие к нарушению прав и свобод субъектов правовой защиты.

Обратим внимание на тот факт, что правовые угрозы воздействуют непосредственно на субъекты правовой защиты, которые в свою очередь образуют социальную подсистему (СП) СТС. Данную подсистему можно представить графом. Тогда, соответственно, U{u1,…, un} – конечное множество входов социальной подсистемы и Y{y1,…,yt} – конечное множество выходов. Процесс организационно-правовой защиты СТС предусматривает рассмотрение, следующих множеств:

- U{Ui} – конечное множество правовых угроз;

- S{Aj, Bj} – конечное множество субъектов правовой защиты;

- P{Pk} – конечное множество организационно-правовых норм.

Элементы этих множеств состоят между собой в определенных отношениях, образующих систему организационно-правовой защиты. Правовые угрозы воздействуют на субъекты правовой защиты. Если субъектам правовой защиты S поставить в соответствие элементы множества ущербов Y, то задачи рассматриваемого воздействия можно свести к следующим двум обобщенным выражениям:

(3.1)

(3.2)

где рассматривается произведение вышеуказанных множеств с целью максимизации или минимизации размера ущерба Y.

Правовые угрозы и субъекты правовой защиты

j	Субъект правовой защиты (Sj)	i	Правовые угрозы (Ui)
1	Органы государственной власти и местного самоуправления, юридические и физические лица, производящие и потребляющие информацию	1	Нарушение прав и свобод органов государственной власти и местного самоуправления, юридических и физических лиц на производство и потребление информации
2	Органы государственной власти и местного самоуправления, юридические и физические лица, разрабатывающие и применяющие информационные системы, технологии и средства их обеспечения	2	Нарушение прав и свобод органов государственной власти и местного самоуправления, юридических и физических лиц на разработку и применение информационных систем, технологий и средств их обеспечения
3	Организации, предприятия и учреждения, формирующие информационные ресурсы и предоставление потребителям информацию из них	3	Нарушение прав организаций, предприятий и учреждений на формирование информационных ресурсов и предоставление их потребителям
4	Государственные структуры и должностные лица, обеспечивающие информационную безопасность	4	Нарушение прав государственных структур и должностных лиц на обеспечение информационной безопасности
5	Человек как гражданин, человек как личность	5	Нарушение информационных прав человека как гражданина и как личности (авторское право, право на конфиденциальность персональных данных и пр.)
6	Человек как гражданин, человек как личность, группы и массы людей	6	Незаконные информационно-психологические воздействия на человека, группы и массы людей

Выражение (3.1) есть задача реализации угрозы – задача субъекта, реализующего угрозы (злоумышленника), а выражение (3.2) – задача нейтрализации угрозы (позитивная для социальной подсистемы) – задача защитника. В своей совокупности они условно могут быть названы задачей оптимального синтеза систем защиты и нарушения прав субъектов для социальной подсистемы, рассматриваемые совместно (конфликтно).

Теоретически возможно определить набор уязвимых мест социальной подсистемы СТС как подмножества вершин, для которых

, (3.3)

где - приемлемый ущерб для подсистемы. По аналогии эффективными операторами (механизмами защиты) следует считать подмножества Р, для которых

(3.4)

Таким образом, размер ущербов Y в данных вершинах графа не превышает приемлемого ущерба для социальной подсистемы. Эти вершины графа будут допустимо уязвимыми для рассматриваемых правовых угроз U.

Построим граф, который отражает суть процессов воздействия правовых угроз на социальную подсистему СТС (рис. 3.3). Будем использовать следующие обозначения:

- Ui – множество правовых угроз;

- Wij – оператор запуска процесса реализации угроз;

- Sj – множество субъектов СП, на которые воздействуют правовые угрозы;

- Wjk – отображает ущерб после воздействия правовой угрозы на субъект защиты;

- СПо – исходное состояние СП;

- СПт – состояние, в которое переходит СП в результате воздействия правовых угроз.

- Yk – показывает изменения в работе системы в результате воздействия правовой угрозы.

СПо

Рис. 3.3. Модель процесса воздействия правовой угрозы на субъект правовой защиты

Представим множество угроз как входной вектор и вычислим параметры выхода по совокупности входных параметров. Получим U = {u1, u2, u3, u4, u5, u6} – входной вектор, Y = Yk – выходной вектор.

Выполняется функциональное преобразование, которое представимо в виде: Y = F(u), где u = {ui}, i = (1…N); y = Yk.

В общем случае, когда число угроз и субъектов защиты нефиксированное, величины Yk задаются:

Yk = (Wjk*sj), (3.5)

Wjk = Aj/Bj, (3.6)

где Aj – значимость субъекта защиты для системы;

Bj – защищенность правом субъекта защиты.

Воздействие правовых угроз на субъект защиты задается так:

, (3.7)

ui –вид угрозы.

Отсюда

(3.8)

Полученное значение Yk позволит оценить, какие угрозы воздействовали, и какой ущерб причинен.

Для определения риска используется следующая формула:

, (3.9)

где Risk – риск;

Yk – ущерб от реализации правовой угрозы;

Р(Yk) – вероятность нанесения ущерба (реализации правовой угрозы).

В свою очередь вероятность реализации угрозы может быть определена как:

(3.10)

где Vi – вероятность попытки реализации конкретной ИОА;

Bj – защищенность правом субъекта защиты от конкретной ИОА (от 0 до 1; 0 –высокая, 1- низкая).

Для противодействия правовым угрозам применяются организационно-правовые меры. Тогда действие организационно-правовых норм на субъект защиты при реализации правовых угроз будет задаваться следующим образом:

, (3.11)

где Р - множество организационно-правовых норм, которое является механизмом защиты субъекта от воздействия правовых угроз.

Применение механизма защиты призвано уменьшить ущерб от воздействия правовых угроз. Следовательно,

(3.12)

В таком случае изменится и значение риска Rjk. Поскольку величина ущерба Yk уменьшится за счет применения механизмов правовой защиты, то и значение риска будет меньше. Предположим, что риск после применения механизмов защиты будет равен > , тогда для минимизации риска получим

, (3.13)

где С – затраты на применение организационно-правовой защиты.

Таким образом, при определенных затратах на механизмы защиты один риск превращается в другой, имеющий гораздо меньшее значение, чем первоначальный.

В завершение можно будет определить степень защищенности социальной подсистемы. Данный подход предполагает построение соответствующих моделей объекта защиты.

Необходимо отметить, что правовые угрозы не могут быть реализованы без воздействия на объект защиты технических угроз. Поэтому следует рассмотреть техническую подсистему СТС более подробно.

Построим граф, в котором вершины соответствуют объектам защиты и техническим угрозам, а ребра означают возможность непосредственной связи между ними. На основе структурных схем представим обобщенную техническую основу внутренних информационных отношений СТС (рис. 3.4).

Рассматриваемая информационная система (ИС) представляет множество информационных узлов и непересекающееся с ним множество информационных потоков, соединенных по определенному закону (предикату) индуцированному множеством операторов (функций) F. Отсюда ИС описывается графом. Тогда, соответственно, Х{x1,…, xs} – конечное множество входов ИС и Y{y1,…,yt} – конечное множество выходов. Используем данную постановку для исследования ИС в контексте технического обеспечения ее информационной безопасности. Процесс защиты технической подсистемы предусматривает рассмотрение, по крайней мере, трех множеств:

- X{Xi} – конечное множество угроз;

- H{Aj, Bj} – конечное множество объектов защиты;

- V{Vk} – конечное множество операторов защиты технической подсистемы.

Рис. 3.4. Обобщенная модель технической основы реализации внутренних информационных отношений

Элементы этих множеств состоят между собой в определенных отношениях, образующих систему защиты. Угрозы воздействуют на информационные узлы и/или на информационные потоки. Если объектам защиты Н поставить в соответствие элементы множества ущербов Y, то задачи рассматриваемого воздействия можно свести к следующим двум обобщенным выражениям:

(3.14)

, (3.15)

где рассматривается произведение вышеуказанных множеств с целью максимизации или минимизации размера ущерба Y. Выражение (3.14) есть задача реализации угрозы – задача субъекта, реализующего угрозы (злоумышленника), а выражение (3.15) – задача нейтрализации угрозы (позитивная для ИС) – задача защитника. В своей совокупности они образуют задачу оптимального синтеза системы защиты и нападения для ИС, рассматриваемые совместно (конфликтно).

Пользуясь вышеприведенными соображениями, теоретически возможно определить набор уязвимых мест технической подсистемы СТС как подмножества вершин, для которых

, (3.16)

где - приемлемый ущерб для ИС. По аналогии эффективными операторами (механизмами защиты) следует считать подмножества V, для которых

(3.17)

То есть метрика ущербов Y в данных вершинах графа не превышает приемлемого ущерба для ИС. Такие вершины графа считают допустимо уязвимыми для рассматриваемых угроз Х.

Построим структурные схемы (графы), которые отражают суть процессов воздействия угроз на техническую подсистему при нарушении безопасности информации, используя следующие обозначения:

- Xi – множество источников угроз;

- Wij – оператор запуска процесса реализации угроз;

- Hj – множество уязвимых узлов ИС;

- ИСо – первоначальное или исходное состояние системы;

- ИСт – состояние, в которое переходит система в результате воздействия угроз.

При этом рассмотрим базовые угрозы, возникающие при реализации ИОА: утрата конфиденциальности – несанкционированное чтение (рис. 3.5), модификация информации – несанкционированная запись и нарушение целостности информации – несанкционированное уничтожение. После воздействия угроз Xi на Hj – множество уязвимых узлов, ИСо переходит в новое состояние ИСт.

Рис. 3.5. Несанкционированное чтение

Представленная на рис. 3.6 модель отображает процесс модификации информации, реализуемый путем несанкционированной записи Wr.

Рис. 3.6. Несанкционированная запись

Здесь l+q означает операцию записи: чтение + запись.

По аналогии, в соответствии с рис. 3.7, модель отображает нарушение целостности информации, реализуемое операцией удаления Dl, где –l – операция, обратная операции чтения – удаление информации.

Рис. 3.7. Несанкционированное уничтожение

Характерно отметить, что после воздействия угроз состояние ИС изменяется, происходят изменения со множеством уязвимых узлов, такие что бывший узел уязвимости может стать даже потенциальным очагом угрозы.

Рассмотренные процессы воздействия угроз на техническую подсистему, происходящие на микроуровне (чтение, запись, удаление) при взаимодействии с подсистемой составляют набор типовых операций и их моделей, который достаточно полно описывает многообразие воздействия угроз различных классов и областей применения. Рассмотренные модели представляют интерес для прогнозирования и управления процессами в региональном информационном пространстве в интересах его безопасности и устойчивого развития.

Детализация модели на микроуровне предусматривает конкретизацию процессов воздействия информационных угроз. Обработка информации на объекте осуществляется в условиях воздействия информационных угроз. Как было отмечено выше, уязвимыми звеньями системы являются компоненты информационной системы, а все многообразие угроз сведено к базовым, от которых необходимо защищаться.

Модель, характеризующая развитие отношений между объектами защиты в системе с учетом влияния на них информационных угроз, может быть описана однотипными информационными потоками и, как следствие, иметь единое информационное описание, что позволит применить к распознаванию степени нанесенного ущерба единый подход. С точки зрения информационного описания, это управляемое представление процессов, происходящих на конкретном объекте, его участке или компоненте. Для объекта защиты суть процесса воздействия угрозы представлена на рис. 3.8.

Рис. 3.8. Модель процесса воздействия угрозы на объект защиты

Здесь Xi – переменная, отображающая многообразие воздействующих угроз;

Wij – отображает связь между xi и hj, которая характеризует реализацию угрозы;

Hj – компонент системы, на который воздействует угроза;

Wjk – отображает ущерб после воздействия угрозы на объект защиты;

Yk – показывает изменения в работе системы в результате воздействия угрозы.

Если множество угроз отобразить как входной вектор, следовательно, каждый узел позволит вычислить параметры входа по совокупности входных параметров. Тогда Х = {чтение, запись, удаление} = {х1, х2, х3} – входной вектор, Y = Yk – выходной вектор.

Выполняется преобразование, которое может быть представлено как: Y = F(x), где x = {xi}, i = (1…N), y = Yk.

При рассмотрении общего случая, когда число угроз и объектов защиты нефиксированное, величины Yk задаются:

Yk = (Wjk*hj), (3.18)

где Wjk – выходной вес связи от вершины hj к вершине k;

Wjk = Aj/Bj, (3.19)

где Aj – значимость объекта защиты для системы;

Bj – защищенность объекта защиты.

Выходные сигналы вершин hj задаются так:

, (3.20)

где Wij – входной вес связи (i, j);

xi – сигнал на выходе i-го входного узла, вид угрозы.

Тогда

(3.21)

Полученное значение Yk позволит оценить, какие угрозы воздействовали, и какой ущерб причинен. В завершение можно будет определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает построение соответствующих моделей объекта защиты.