Загинайлов Теория ИБ-1 главы с 4 по 10
.pdfКонцептуальная модель защиты информации включает компоненты:
–объекты защиты информации;
–угрозы безопасности информации и объектам защиты;
–политику безопасности информации;
–систему защиты информации.
Элементами этих компонентов (компонентами второго уровня) являются термины, в совокупности определяющие предметную область защиты информации. Для того чтобы более полно и глубоко раскрыть сущность защиты информации необходимо ответить на следующие вопросы:
–что защищать?
–где защищать?
–когда защищать (только днём или круглосуточно, и т.п.) или на какой-то период (например на время секретного совещания)) ?
–от кого защищать?
–от чего защищать?
–как защищать?
–чем защищать?
–кто должен защищать?
Ответам на эти вопросы посвящены последующие главы настоящего пособия.
Контрольные вопросы и задания
1.Сформулируйте общий контекст защиты информации.
2.Перечислите системы понятий, используемые в методологии защиты информации, и поясните, чем они обусловлены.
3.В чём заключена роль нормативных документов и стандартов
взащите информации?
4.Понятия (термины и определения) какого стандарта обязательны для применения во всех видах документации и литературы по защите информации.
5.Сформулируйте понятие «защита информации» с учётом характеристик безопасности информации и понятий, используемых в законодательстве.
6.Приведите виды защиты информации и поясните их принципиальное отличие.
7.Приведите основные направления и соответствующие им способы защиты информации.
81
8.Каковы цели защиты информации с учётом положений законодательства России?
9.Каковы задачи защиты информации?
10.Какие компоненты и элементы составляют концептуальную модель защиты информации?
82
Глава 6 ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
6.1 Основные положения теории защиты информации
Понятие, задачи и составные части теории защиты информа-
ции. Теория защиты информации определяется как система основных идей, относящихся к защите информации в современных системах ее обработки и на объектах информатизации, дающая целостное представление о сущности проблемы защиты, закономерностях ее развития
исущественных связях с другими отраслями знания, формирующаяся
иразвивающаяся на основе опыта практического решения задач защиты и определяющая основные ориентиры в направлении совершенствования практики защиты информации.
Всоответствии с определением, но в более развернутом виде,
можно представить задачи теории защиты информации. Она должна:
– предоставлять полные и адекватные сведения о происхождении, сущности и развитии проблем защиты информации;
– полно и адекватно отображать структуру и содержание взаи-
мосвязей с родственными и смежными областями знаний;
– аккумулировать опыт предшествующего развития исследований, разработок и практического решения задач защиты информации;
– ориентировать в направлении наиболее эффективного решения основных задач защиты и предоставлять необходимые для этого научно-методологические и инструментальные средства;
– формировать научно обоснованные перспективные направления развития теории и практики защиты информации.
Вкачестве составных частей теории защиты информации, в настоящее время, определяют:
– полные и систематизированные сведения о происхождении, сущности и содержании проблемы защиты информации;
– систематизированные результаты ретроспективного анализа развития теоретических исследований и разработок, а также опыта практического решения задач защиты, полно и адекватно отображающие наиболее устойчивые тенденции в этом развитии;
– научно обоснованная постановка задачи защиты информации в современных системах ее обработки, полно и адекватно учитывающая текущие и перспективные концепции построения систем и технологии
83
обработки, потребности в защите информации и объективные предпосылки их удовлетворения;
–общие стратегические установки на организацию защиты информации, учитывающие все многообразие потенциально возможных условий защиты;
–методы, необходимые для адекватного и наиболее эффективного решения всех задач защиты и содержащие как общеметодологические подходы к решению, так и конкретные прикладные методы решения;
–методологическая и инструментальная база, содержащая необходимые методы и инструментальные средства решения любой совокупности задач защиты в рамках любой выбранной стратегической установки;
–научно обоснованные предложения по организации и обеспечению работ по защите информации;
–научно обоснованный прогноз перспективных направлений развития теории и практики защиты информации.
Приведенный перечень составных частей даже при таком очень общем представлении их содержания, предметно свидетельствует о большом объеме и многоаспектности теории защиты, что, естественно, порождает значительные трудности ее формирования. Эти трудности усугубляются еще тем, что проблема защиты информации относится к числу сравнительно новых, причем по мере развития исследований, разработок и практической их реализации появляются новые аспекты, защита информации представляется все более комплексной и все более масштабной проблемой. Существенное влияние оказывает также неординарность проблемы защиты, наиболее значимым фактором которой, является повышенное влияние на процессы защиты случайных трудно предсказуемых событий. Всем изложенным предопределяется настоятельная необходимость выбора и обоснования методологических принципов формирования самой теории защиты.
Особенности теории защиты информации. Безусловно, что в настоящее время, многие фундаментальные науки, как гуманитарные: философия, история, экономика и другие, так и математические и ес- тественно-научные: математика, физика, информатика и другие, имеют очень важное значение как базовые науки для всех сфер деятельности человека. Защита информации сегодня рассматривается как прикладная наука информационной сферы жизнедеятельности и как составляющая безопасности государства. Она достаточно глубоко включается в систему общественных отношений, поскольку информация
84
является предметом и объектом собственности, что определяет в качестве первооснов теории защиты правовой базис информационных отношений. Защита информации носит с одной стороны ярко выраженный правовой характер. С другой стороны, конкретные системы защиты информации на различных объектах её использования имеют техническую основу. Всё это обуславливает ряд особенностей теории защиты информации, её отличие от фундаментальных и некоторых прикладных наук. Такими особенностями являются:
–объективная необходимость и общественная потребность в защите информации;
–включенность её в систему общественных отношений;
–зависимость защиты информации от политико-правовых, социальноэкономических, военно-политических реальностей;
–тесная взаимосвязь с процессами информатизации общества;
–необходимость обеспечения баланса интересов личности, общества и государства при защите информации через правовое регулирование и взаимный контроль субъектов информационных отношений
всфере защиты информации.
6.2 Модели систем и процессов защиты информации
Понятие модели и задачи моделирования. Моде́ль(от лат. modulus – мера, аналог, образец) – отображение, копия, схема, макет, изображение, некоторый материальный или мысленно представляемый объект или явление, замещающий упрощением оригинальный объект или явление, сохраняя только некоторые важные его свойства, например, в процессе познания (созерцания, анализа и синтеза) или конструирования.
Другими словами, модель – это объект или явление, аналогичные, то есть, в достаточной степени повторяющие свойства моделируемого объекта или явления (прототипа), существенные для целей конкретного моделирования, и опускающие несущественные свойства, в которых они могут отличаться от прототипа.
Моделирование – это замещение одного объекта (оригинала) другим (моделью) и фиксация или изучение свойств оригинала путем исследования свойств модели. Замещение производится с целью упрощения, удешевления или изучения свойств оригинала. В общем случае объектом-оригиналом может быть любая естественная или искусственная, реальная или воображаемая система.
К моделям выдвигается ряд обязательных требований.
85
Во-первых, модель должна быть адекватной объекту, т. е. как можно более полно и правильно соответствовать ему с точки зрения выбранных для изучения свойств.
Во-вторых, модель должна быть полной. Это означает, что она должна давать принципиальную возможность с помощью соответствующих способов и методов изучения модели исследовать и сам объект, т. е. получить некоторые утверждения относительно его свойств, принципов работы, поведения в заданных условиях.
Таким образом, моделирование системы заключается в построении некоторого её образа, адекватного (с точностью до целей моделирования) исследуемой системе, и имитации на ней процессов функционирования реальной системы с целью получения характеристик реальной системы.
Выделяют следующие задачи моделирования систем и процессов защиты информации:
–оптимальное (или рациональное) распределение механизмов безопасности между организационными мерами, инженернотехническими средствами и программным обеспечением;
–проектирование структуры системы защиты информации с различной степенью абстракции (проекты высокого/низкого уровней) с целью обеспечения полноты охвата процедурами безопасности всех потоков информации, подлежащей защите;
–оптимизация процессов управления безопасностью;
–оценка технико-экономических показателей систем защиты информации на различных этапах жизненного цикла по мере уточнения требований к организационным, инженерно-техническим и программным мерам защиты, а также условий применения системы.
Классификация моделей. В общем случае классификацию моделей по масштабу, способам моделирования, характеру моделируемых систем можно представить следующим образом:
–масштаб моделей: частные, общие;
–способ моделирования: аналитический, статистический;
–характер моделируемых систем: детерминированные, стохас-
тические (вероятностные).
Поскольку на процессы защиты информации подавляющее влияние оказывают случайные факторы, то, очевидно, все основные модели систем защиты информации неизбежно должны быть стохастическими. Хотя не следует исключать и детерминированный характер моделей хотя бы применительно к частным моделям.
Для описания процессов функционирования стохастических сис-
86
тем необходимы средства отображения влияния случайных факторов.
Общая модель процесса защиты информации. Общая модель процесса защиты информации может быть рассмотрена применительно к объекту информатизации, на котором информация в различных формах хранится, обрабатывается и передаётся с использованием технических систем. Графически модель представлена на рисунке 6.1., где {Yj} – j-я угроза (дестабилизирующий фактор) воздействия на
объект защиты (информацию);
Оi – i-й объект защиты;
{Cn} – n-е средство защиты информации (объекта защиты);
P ijk – вероятность негативного воздействия j-й угрозы на i-й объект в k-м его состоянии (без применения средств защиты);
P ijnk – вероятность негативного воздействия с учётом нейтрализации воздействия j-й угрозы на i-й объект в k-м его состоянии применением n-го средства защиты;
Pi – вероятность надёжной защиты i-го объекта.
|
|
P ijk |
|
|||
{Yj} |
|
|
|
|
Pi |
Оi |
P ijk |
|
|
|
|||
|
|
|
P ijnk |
|
||
|
|
|
{Cn} |
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 6.1– Общая модель процесса защиты информации
В соответствии с данной моделью обработка информации на объекте Оi осуществляется в условиях воздействия на информацию угроз (дестабилизирующих факторов) {Yj}. Для противодействия угрозам информации могут использоваться специальные средства защиты {Cn}, оказывающие нейтрализующее воздействие на дестабилизирующие факторы.
87
В общем случае имеется потенциальная опасность воздействия на объект защиты в любом его состоянии некоторой совокупности угроз, причём Pijk – есть вероятность негативного воздействия j-й угрозы на i-й объект в k-м его состоянии (без применения средств защиты), а Pijnk вероятность предупреждения (нейтрализации) воздействия j-й угрозы на i-й объект в k-м его состоянии применением n–го средства защиты. При этом характер и уровень воздействия одних факторов не зависит от характера и уровня действия других. Однако могут быть и взаимозависимые факторы. Точно так же и средства защиты: могут быть независимые, могут быть взаимозависимые. Таким образом, при разработке моделей процессов защиты информации надо учитывать не только воздействие угроз и средств защиты, но и взаимное воздействие угроз и средств друг на друга.
Для простоты представления в общей модели взаимное влияние угроз и средств не учитывается.
С учетом обозначений, приведенных на Рисунке 6.1, можно вывести такиезависимости.
Pi 1 (1 Pik ) k |
(6.1) |
k |
|
Здесь k есть доля k-го состояния (режима работы) АСОД в анализируемый период времени. Наиболее объективным будет представление его в виде доли интервала времени пребывания АСОД в k-м состоянии ( ∆tk) в общей продолжительности оцениваемого интервала времени Т, т.е.
k |
|
t |
|
T |
|
||
|
|
k |
(6.2) |
|
|
|
|
Для общего случая естественным будет предположить, что система защиты информации может быть неполной в том смысле, что в ней могут отсутствовать средства предупреждения воздействия некоторых дестабилизирующих факторов. Тогда
Pik |
P |
P |
(6.3) |
|
ik |
ik |
|
|
88 |
|
|
где P'ik – вероятность защищенности информации на i-м объекте в k-м его состоянии (режиме работ) от совокупного воздействия всех тех дестабилизирующих факторов, для противодействия которым в системезащиты не предусмотрены средства защиты; В свою очередь:
Pik |
|
|
(1 Pijk ) |
(6.4) |
|
|
j |
|
|
P''ik – то же для тех факторов, для противодействия которым в системе защиты имеются средства защиты. где j принимает значения номеров тех дестабилизирующих факторов, против которых отсутствуют средства защиты, а
Pik |
(1 Pijk ) |
(6.5) |
|
j |
|
где j" – принимает значения номеров дестабилизирующих факторов, для противодействия которым в системе защиты предусмотрены средства; η" – значения номеров тех средств защиты информации, которые
оказывают воздействиена дестабилизирующий фактор сномером j". Вероятность надежной защиты информации в группе объектов
определяется зависимостью:
P Pi |
(6.6) |
i |
|
Такой подход позволяет определить возможный ущерб U |
для |
ценной информации, выраженной в конкретной цене G. |
|
U= (1- P )*G |
(6.7) |
Так, при ценности информации выраженной в цене G = 100000руб. и Р = 0,8, ущерб U составит 20000 руб. (U= (1- 08)*100000=20000руб.), что означает то, что в случае реализации ка- ких-либо угроз потери организации (собственника) в финансовом выражении (риск) составят 20000 руб. Т.е риск организация рискует именно такой суммой. При этом предотвращённый ущерб составит
80000руб.
89
Частные модели защиты. Частные модели используются для исследования безопасности отдельных компонентов или процессов. К ним можно отнести частные модели для моделирования угроз безопасности (моделирование конкретной угрозы или некоторой совокупности), модели нарушителя, модель безопасности компьютерной системы, модели потоков информации на объекте информатизации.
При моделировании угроз используются как стохастические (вероятностные) модели, методы статистического анализа так и методы неформального анализа. Современные модели нарушителя характеризуются неформальным описанием, т.е все нарушители распределяются по уровню возможностей, для каждого уровня возможностей определяются возможные способы НСД и т.д. – неформальная модель нарушителя.
В теории компьютерной безопасности функционирование системы и её безопасность выражается политикой безопасности системы. Описание функционирования системы и обеспечение её безопасности осуществляется с использованием модели безопасности. В рамках описания системы и доказательства её безопасности используются как неформальные методы (модели), так и формальные.
Неформальное описание используется в системах с дискреционной политикой безопасности. Уровень защищённости этих систем не высок. Неформальное описание политики безопасности в частности приводится в руководствах операционных систем семейства Windows.
Преимуществом формального описания является отсутствие противоречий в политике безопасности и возможность теоретического доказательства безопасности системы при соблюдении всех условий политики безопасности. Такое решение проблемы защищенности информации и проблемы построения системы защиты позволяет привлечь в теорию защиты точные математические методы. То есть доказывать, что данная система в заданных условиях поддерживает политику безопасности.
Частные модели позволяют определить экстремальные показатели с точки зрения безопасности информации и систем её обработки.
Такими показателями являются:
–наиболее ценная (важная) информация;
–наиболее уязвимые элементы систем обработки информации;
–наиболее опасная угроза;
–наиболее опасный злоумышленник;
–наименее надёжный механизм защиты;
–наиболеенадёжнаяполитикабезопасностикомпьютернойсистемы.
90