Выводы по второй главе
Проведенные исследования показывают, что среднее время реализации большинства удаленных атак очень мало и, как правило, в несколько раз меньше такового для атак, связанных с непосредственным доступом. Следовательно, для уменьшения опасности реализации таких атак необходимо принимать меры и использовать средства, ограничивающие использование злоумышленником уязвимости, и технические средства контроля за работой сети. Для атак, связанных с непосредственным доступом, в виду достаточно большого среднего времени их реализации применимы процедуры их непосредственного выявления и контроля физического доступа к узлам ИТКС.
3 Расчет эффективности применения мер и средств противодействия угрозам определенного типа
3.1 Понятие эффективности защиты информации
Под эффективностью какой-либо деятельности или действий понимается степень соответствия результатов такой деятельности поставленной цели. Применительно к защите информации в компьютерной системе эффективность защиты понимается как степень соответствия результатов защиты информации, поставленной цели защиты или степень решения поставленной совокупности задач защиты информации [2]. Оценка эффективности представляет собой процедуру определения меры приближения к поставленной цели защиты. Однако, во-первых, цели могут формулироваться на существенно разных уровнях обобщения, например, на уровне выполнения совокупности функций, реализуемых теми или иными мерами или средствами защиты [26], или на уровне функционирования всей компьютерной системы или даже на уровне интересов пользователей, например, предприятия, организации или совокупности предприятий и организаций, эксплуатирующих компьютерную систему. Во-вторых, сами цели и задачи могут формулироваться самым различным образом. Например, цель может состоять в парировании всех выявленных угроз безопасности информации, в исключении возможности неприемлемого ущерба от реализации угроз безопасности информации, в достижении максимально возможной защищенности информации имеющимися средствами [5] и т.д.
Если необходимо оценивать эффективность применения того или иного средства или меры защиты информации, то также имеет место двойственность подхода. Во-первых, эффективность может оцениваться относительно заранее определенных и декларированных для данного средства (меры) задач защиты, которые должны выполняться этим средством (или мерой). Во-вторых, оценка может проводиться относительно всех задач защиты, которые сформулированы для данной компьютерной системы, это особенно важно, когда оценивается вклад каждого средства защиты, применяемого в системе, в результирующую эффективность защиты информации в ней.
Применительно к оценке эффективности защиты информации в компьютерной системе для частичного парирования такой условности могут быть выбраны несколько путей, основанных на унификации целей и задач защиты информации. При этом следует подчеркнуть, что полностью парировать указанную условность невозможно, что обусловлено относительностью, присущей самому понятию эффективности.
Первый путь заключается в формировании требований по защите, выполнение которых будет свидетельствовать о достаточности принятых мер. Тогда целью защиты станет достижение условий, при которых указанные требования выполняются. Эффективность защиты в этом случае является мерой приближения к заданным условиям.
Второй путь заключается в том, что факту достижения цели защиты ставится в соответствие ряд экспертных суждений по некоторой качественной шкале, которая затем переводится в шкалу баллов. Далее баллы, как правило, суммируются (или перемножаются) и при превышении этой суммой (произведением) определенного порога принимается решение о достаточности принятых мер защиты. В этом случае сумма (или произведение) баллов может выступать в качестве меры эффективности. Часто каждому значению суммы (произведения) ставится в соответствие определенное суждение об эффективности защиты.
Третий путь сводится к формированию некоторой общей («универсальной») цели защиты, заключающейся, например, в парировании всех выявленных актуальных угроз безопасности информации в компьютерной системе, и к формулированию задач защиты, направленных на достижение поставленной цели. В этом случае эффективность защиты является мерой достижения указанной цели, то есть парирования всех выявленных угроз безопасности информации.
Следует отметить, что сегодня на практике применяются, в основном, первые два из указанных путей. Первый из них реализуется в нескольких вариантах, но, как правило, с применением так называемого «функционального подхода», суть которого состоит в следующем. Требования по защите информации в компьютерной системе задаются в виде перечня функций, которые необходимо выполнить для того, чтобы достичь определенного уровня защищенности информации в компьютерной системе. Уровень защищенности (в качестве таких уровней могут выступать классы защищенности компьютерной системы) чаще всего устанавливается декларативно, исходя из опыта экспертов. При этом защита считается эффективной, если все функции, соответствующие заданному уровню защищенности информации, выполняются. Эти функции часто называют функциями безопасности [2, 7].
Характерно, что при «функциональном подходе» не оценивается эффективность выполнения самих функций, при этом предполагается, что они реализуются сертифицированными средствами «абсолютно эффективно». Для парирования этого недостатка в методологии введены так называемые «требования доверия», определяющие уровни доверия пользователя к выполняемым функциям безопасности. Одним из путей формирования уровней доверия предусмотрена оценка (возможно и на количественной основе) эффективности принимаемых мер и средств защиты. Однако сегодня из-за отсутствия развитой методологии такой оценки, фактически уровни доверия определяются экспертно по некоторым заранее введенным правилам.
Следует подчеркнуть, что при функциональном подходе реализуется, по сути, «бинарная» оценка, при этом понятие эффективности подменяется понятием достаточности принятых мер защиты, а такая «эффективность» не является мерой приближения к поставленной цели защиты. Вместе с тем, «функциональный подход» не исключает возможности формирования показателей, позволяющих проводить оценку эффективности в смысле меры достижения цели защиты.
Балльный метод оценки эффективности защиты информации реализует второй из указанных выше путей парирования условности оценки эффективности и основывается на экспертном опросе специалистов, обработке их результатов и выдаче в виде баллов, а затем интерпретации полученной балльной оценки в виде суждений об эффективности принятых мер защиты. Этот метод реализован в целом ряде международных стандартов и программных продуктов, таких как стандарт ISO 17799 и его инструментарий, например, программный продукт COBRA или программный продукт, реализующий метод СRAMM, программный продукт RiskWatch и др. Наиболее широко в настоящее время используется метод СRAMM, поэтому на его примере ниже характеризуется балльный метод оценки.
В этом методе в первую очередь оценивается ценность ресурсов в ситуациях:
— недоступности ресурса в течение определенного периода времени;
— разрушения ресурса — потери информации, полученной со времени последнего резервного копирования, или ее утрата (полное разрушение);
— нарушение конфиденциальности в случаях НСД;
— модификации данных из-за мелких ошибок ввода, программных ошибок, преднамеренных действий;
— наличие ошибок, связанных с передачей информации, в том числе с отказом в обслуживании, со сбоем в доставке информации, с доставкой по неверному адресу.
В качестве возможных ущербов в коммерческой версии продукта рассматриваются [21]:
— ущерб репутации организации;
— нарушение действующего законодательства;
— ущерб для здоровья персонала;
— ущерб, связанный с разглашением персональных данных;
— финансовые потери от разглашения информации;
— финансовые потери, связанные с восстановлением ресурсов;
— потери, связанные с невозможностью выполнения обязательств;
— дезорганизация деятельности.
Далее формируются балльные шкалы оценки ущерба в интервале значений 0 — 10, представленные в таблице 3.1.
Таблица 3.1 — Пример формирования шкалы оценки ущерба
Вид ущерба |
Величина ущерба, соответствующая оценке в баллах |
||||
2 балла |
4 балла |
6 баллов |
8 баллов |
10 баллов |
|
Ущерб репутации организации |
Негативная реакция отдельных чиновников, общественных деятелей |
Критика в СМИ, не получив-шая широкого обществен-ного резонанса |
Негативная реакция депутатов Государствен-ной Думы или Совета Федерации |
Критика в СМИ, имеющая последствия в виде крупных скандалов, парламентс-ких слушаний, широко- масштабных проверок |
Негативная реакция на уровне Прези-дента и прави-тельства |
Продолжение таблицы 3.1
Вид ущерба |
Величина ущерба, соответствующая оценке в баллах |
||||
2 балла |
4 балла |
6 баллов |
8 баллов |
10 баллов |
|
Ущерб для здоровья персонала |
Минимальный ущерб, не связанный с госпитализацией или длительным лечением |
Средний ущерб (необходи-мо лечение одного или несколь-ких сотрудни-ков, но длитель-ных отрица-тельных последст-вий нет) |
Серьезные последствия (продолжи-тельная госпитализация, инвалидность одного или нескольких сотрудников) |
— |
Гибель людей |
Финансовые потери, связанные с восстановле-нием ресурсов |
Менее 1000 долл. |
|
От 1000 долл. до 10000 долл. |
От 10000 долл. до 10000 долл. |
Свыше 10000 долл. |
Дезорганизация деятельности в связи с недоступно-стью данных |
До 15 минут |
От 15 минут до 1 часа |
От 1 часа до 3 часов |
От 3 часов до 1 суток |
Более 1 суток |
...
|
...
|
...
|
...
|
...
|
...
|
Затем оцениваются уровни угроз и уязвимостей на основе экспертного опроса по специально составленным анкетам с учетом таким образом разнообразных косвенных факторов, таких как [5]:
— статистика по зарегистрированным инцидентам безопасности информации (нарушениям);
— тенденции в статистике по нарушениям;
— наличие в системе информации, представляющей интересах для возможных внутренних и внешних нарушителей;
— моральные качества персонала;
— возможность извлечь выгоду из изменения обрабатываемой в системе информации;
— наличие альтернативных способов доступа к информации;
— количество рабочих мест операторов в системе;
— осведомленность руководства о действия сотрудников;
— полномочия пользователей и др.
Далее баллы по результатам оценки угроз суммируются и оценивается степень угрозы по количеству баллов следующим образом:
до 9 — очень низкая;
от 10 до 19 — низкая;
от 20 до 29 — средняя;
от 30 до 39 — высокая:
40 и более — очень высокая.
Аналогичным образом оценивается по баллам степень уязвимости:
до 9 — низкая;
от 10 до 19 — средняя;
20 и более — высокая.
Затем оценивается показатель цены потери по вербальной шкале:
N (Negligible) — воздействием можно пренебречь;
Mi (Minor) — незначительные последствия (легко устранимы, с малыми затратами на ликвидацию);
Mo (Moderate) — последствия умеренны, не связаны с крупными затратами, не затрагивают критически важные задачи;
S (Serious) — серьезные последствия со значительными затратами, влияющими на выполнение критически важных задач;
C (Critical) — невозможно решение критически важных задач.
На основе проведенных оценок определяется показатель риска, например, по десятибалльной шкале в соответствии с таблицей 3.2.
Эффективность оценивается часто по остаточному риску, то есть по риску, который остается после применения мер и средств защиты. Пример такой оценки представлен в таблице 3.3.
Таблица 3.2 — Показатель информационного риска
Цена потери |
Значение показателя для уровня угрозы |
||||||||
низкого |
среднего |
высокого |
|||||||
для уровня уязвимости |
для уровня уязвимости |
для уровня уязвимости |
|||||||
Низ-кого |
Сред-него |
Высокого |
Низкого |
Среднего |
Высокого |
Низкого |
Среднего |
Высокого |
|
N |
0 |
1 |
3 |
1 |
3 |
5 |
2 |
4 |
6 |
Mi |
1 |
2 |
4 |
2 |
4 |
6 |
3 |
5 |
7 |
Mo |
2 |
3 |
5 |
3 |
5 |
7 |
4 |
6 |
8 |
S |
3 |
4 |
6 |
4 |
6 |
8 |
5 |
7 |
9 |
C |
4 |
5 |
7 |
5 |
7 |
9 |
6 |
8 |
10 |
Таблица 3.3 — Оценка эффективности защиты информации по вербальной шкале
Показатель риска в баллах |
Интерпретация оценки риска в вербальной шкале |
Оценка эффективности защиты |
1 балл и менее |
Очень низкий риск |
Очень высокая эффективность |
2 или 3 балла |
Низкий риск |
Высокая эффективность |
4 или 6 баллов |
Средний риск |
Средняя эффективность |
7-9 баллов |
Высокий риск |
Низкая эффективность |
10 баллов |
Недопустимый риск |
Защита отсутствует |
Изложенный балльный метод оценки эффективности при всей его доступности применим только при решении достаточно узкого круга задач.
Так, он находит весьма широкое применение при анализе уровня информационной безопасности организации или предприятия, когда даются весьма ориентировочные оценки соответствия принимаемых мер защиты установленным в действующих нормативных документах требованиям. Метод фактически не учитывает характеристики применяемых мер и средств защиты и их влияние на защиту, очень ориентировочно оценивает динамику реализации угроз безопасности информации, с его помощью достаточно сложно решать задачи выбора целесообразного состава мер и средств защиты и тем более нормировать требования к ним в соответствии с определенными классами защищенности и др.
Пусть цель защиты заключается в парировании всех выявленных угроз безопасности информации в компьютерной системе. В этом случае эффективность защиты могла бы быть оценена по величине снижения суммарного коэффициента опасности совокупности угроз безопасности информации за счет применения мер и средств защиты. Рассмотрим возможные показатели такой оценки, которые могут быть относительные и безотносительные.
В качестве безотносительного показателя эффективности можно использовать величину отклонения суммарного коэффициента опасности совокупности угроз от единицы, соответствующей предельно допустимому ущербу от реализации выявленной совокупности угроз:
.
(3.1)
Этот показатель целесообразно назвать степенью защищенности компьютерной системы от совокупности угроз. Вместе с тем при оценке увеличения степени защищенности за счет применения оцениваемых мер и средств защиты приходится рассчитывать и сравнивать между собой, по крайней мере, два значения этого показателя, соответствующие отсутствию оцениваемых мер и средств защиты и их применению.
В связи с изложенным часто используют
для оценки эффективности защиты
сравнительные показатели. Если обозначить
значение степени защищенности информации
без мер защиты
,
а с мерами защиты информации —
,
то эффективность защиты информации
может быть оценена одним из следующих
сравнительных показателей:
разностным показателем —
.
(3.2)
относительным разностным показателем —
(3.3)
относительным показателем —
.
(3.4)
Следует подчеркнуть, что эти показатели являются условными, поскольку определяются применительно к заданной совокупности угроз безопасности информации, выявленных для конкретной компьютерной системы.
Значения этих показателей могут быть увязаны с результатами оценки на основе балльных методов, если провести их смысловую (вербальную) интерпретацию и ввести градацию значений [12, 27], например, в виде, представленном в таблице 3.4.
Таблица 3.4 — Пример вербальной интерпретации интервалов значений показателя эффективности защиты информации
Номер интервала
|
Минимальное значение показателя на
интервале ( |
Максимальное значение показателя на
интервале ( |
Вербальная интерпретация интервала
значений показателя эффективности |
1 |
0 |
0,2 |
Очень низкая эффективность |
2 |
0,2 |
0,4 |
Низкая эффективность |
3 |
0,4 |
0,6 |
Средняя эффективность |
4 |
0,6 |
0,85 |
Высокая эффективность |
5 |
0,85 |
1 |
Очень высокая эффективность |
)
)