2.4. Формирование требований к характеристикам системы защиты информации методом линейного программирования
Реализация
рассмотренного выше метода при постановке
данной задачи проектирования для
защищенной информационной системы (в
отношении которой реализуется процедура
проектирования) с заданием требований
не только в части отдельных угроз атак
(
или
),
но и для информационной системы в целом
- граничное значение характеристики
безопасности информационной системы
в целом -
в общем случае требуется выполнения
соответствующей итерационной процедуры
проектирования с заданием на каждой
итерации приращения величины
Этого можно избежать, если сформулировать и решать задачу проектирования (речь идет о проектировании в части формирования требований к характеристикам системы защиты информации) в постановке задачи линейного программирования.
Искомыми
значениями величин при такой постановке
задачи будут выступать значения
характеристик
,выявленных на
этапе функционального проектирования
средств защиты информации, с номерами
r,
r=1,…,R.
Поскольку эти значения требуется
минимизировать, то в качестве целевой
функции Z,
которую требуется минимизировать,
примем:
Систему
же ограничений в данном случае будут
составлять, как требования к уровню
безопасности информационной системы
в целом, задаваемые условием:
,
где значение
задается при проектировании системы
защиты, а формула для расчета характеристики
определяется путем создания схемы
последовательно-параллельного
резервирования (при построении данной
схемы должны учитываться вершины средств
защиты, включаемые в орграф совокупности
актуальных угроз информационной системы
(в орграф угрозы безопасности защищенной
информационной системы), в результате
функционального проектирования системы
защиты; так и требованиякак
требования к уровню безопасности
информационной системы в отношении
угроз атак (в отношении каждой угрозы
таки с номерами l,
l=1,…,L),
задаваемые условием:
Как рассчитывается характеристика
угрозы атаки
(как схемы параллельного резерва),
рассматривали ранее. Для атак,характеризуемых
выполнением условия:
используется ограничение
вместо
(этот вопрос также рассмотрели ранее).
Естественно,
что для искомых характеристик
дополнительно задаются требования к
их не отрицательности и требование
r=1,…,R.
Замечание.
Имея практические ограничения на
значения
(на значения эксплуатационных параметров
средств защиты, например, если система
защиты строится на существующих
средствах, значения соответствующих
параметров для которых заданы), можно
попытаться решить рассматриваемую
задачу проектирования (если она окажется
разрешимой) с такими ограничениями,
вместо ограничений
Достоинством
данной постановки задачи проектирования
состоит в том, что она позволяет определять
искомые значения характеристик
,r=1,…,R,
при которых выполняются и требуемые
ограничения
или
(соответственно при
ограничение
,
и требуемое ограничение
без выполнения итерационной процедуру
(естественно, если поставленная
оптимизационная задача разрешима).
2.5. Оценка потенциальных возможностей и формирование требований к системе защиты
Оценим
потенциальные возможности системы
защиты и определим требования к значениям
ее эксплуатационных параметров для
современных информационных систем
[22,23]. При этом естественным будет
предположить, что обход системы защиты
возможен исключительно в результате
выявленной и неустраненной в системе
защиты уязвимости. Как следствие, в
предположении, что уязвимостей в системе
защиты не выявляется, имеем:
Уязвимости
же системы защиты, выявление которых
осуществляется с интенсивностью
,
а устранение с интенсивностью
могут
вызываться некорректной реализацией
механизмов защиты и ошибками реализации
(программирования). Наиболее критична
первая причина, поскольку устранение
некорректности реализации механизма
защиты может потребовать большой
продолжительности устранения этой
уязвимости.
Для
определения потенциальной эффективности
системы защиты, с использованием модели
СМО M|M|1,
определим граничные (при худших условиях
– в системе один обслуживающий прибор
- одновременно разработчиком системы
защиты может устраняться только одна
уязвимость) значения характеристики
,
задавая различные
значения эксплуатационных параметров
системы защиты
и
Расчетные
значения приведены в табл.4.
Таблица 4
Оценка уровня эксплуатационной информационной
безопасности защищенной информационной системы
|
Интенсивность устранения выявленных уязвимостей в
системе защиты,
|
Вероятность
готовности к безопасной эксплуатации
средства защиты
в
системе защиты | |||
|
1/ 3 месяца |
1/ 6 месяца |
1/ 12 месяца |
1/ 18 месяца | |
|
1/3 дня |
0,97 |
0,98 |
0,99 |
0,99 |
|
1/7 дней |
0,93 |
0,96 |
0,98 |
0,99 |
|
1/14 дней |
0,87 |
0,93 |
0,96 |
0,98 |
при
различных интенсивностях выявления
уязвимостей
Проведем
анализ полученных результатов. Исходя
из существующей практики внедрения и
технического обслуживания систем защиты
информации, можем заключить, что
требование к продолжительности устранения
выявленной уязвимости на практике
(требование из технического задания на
техническое сопровождение системы
защиты) составляется 1 неделю (7 дней).
Как видим из табл.1, в этих условиях для
обеспечения
= 0,93 допустимо выявление в год в среднем
3,33 уязвимости, для
обеспечения
= 0,96 допустимо выявление в год в среднем
2 уязвимости, для
обеспечения
= 0,98 допустимо выявление в год в среднем
1 уязвимости.
Из
сказанного можно сделать вывод, что
обеспечение вероятности
готовности к безопасной эксплуатации
системы защиты 0,9 и выше достижимо на
практике. Выполнение данных условий
позволяет обеспечить достаточно
продолжительное время работы системы
защиты в безопасном состоянии (средний
интервал времени между отказами
безопасности),
составляющее, например, при
= 0,96 - полгода, а при
= 0,98 - 1 год.
При
этом мы рассмотрели собственно параметры
и характеристики системы защиты, но
подобное средство предназначено для
защиты от угроз атак, причем в отношении
угрозы атаки информационная система
готова к безопасной эксплуатации с
вероятностью
(для осуществления атаки в системе
должны присутствовать выявленные и не
устраненные уязвимости, используемые
этой атакой). Рассмотрим, какое значение
вероятности готовности к безопасной
эксплуатации защищенной информационной
системы
достигается при использовании в ней
системы защиты, характеризуемой условием
= 0,98 при различных значениях
см. табл.5. Для расчетов используем
следующую формулу:
Таблица 5
Оценка
изменения характеристики
от изменен я характеристики
при
= 0,98
|
Вероятность готовности информационной системы к безопасной эксплуатации
в
отношении атаки,
| ||||||||
|
|
0,0 |
0,1 |
0,2 |
0,3 |
0,4 |
0,5 |
0,6 |
0,7 |
|
0,980 |
0,982 |
0,984 |
0,986 |
0,988 |
0,99 |
0,992 |
0,994 | |
Теперь
рассмотрим обратную задачу. Используя
ту же формулу, оценим, как будет изменяться
требование к характеристике системы
защиты
при изменении значения вероятности
готовности информационной системы к
безопасной эксплуатации в отношении
атаки
,
при необходимости обеспечения в
информационной системе значения
вероятности готовности к безопасной
эксплуатации защищенной информационной
системы
=
0,98. Соответствующие расчеты представлены
в табл.6.
Таблица 6
Оценка
изменения характеристики
от изменения характеристики
при
= 0,98
|
Вероятность готовности системы защиты к безопасной эксплуатации
в
отношении атаки,
| ||||||||
|
|
0,0 |
0,1 |
0,2 |
0,3 |
0,4 |
0,5 |
0,6 |
0,7 |
|
0,980 |
0,978 |
0,975 |
0,971 |
0,967 |
0,96 |
0,950 |
0,933 | |
Из
проведенных исследований, результаты
которых приведены в табл.5, табл.6 видим,
что изменение
значения вероятности готовности
информационной системы к безопасной
эксплуатации в отношении атаки
достаточно сильно влияет натребование
к характеристике ссистемы защиты
,
что соответствующим образом должно
учитываться при проектировании системы
защиты информационной системы.