OIBD
.pdfБаза даних є великим і первинно систематизованим набором фактографічної інформації, яка вимагає ретельної обробки і аналізу, для того, щоб отримати висновок з того чи іншого питання.
Накопичення бази даних - досить тривалий і трудомісткий етап. Тим більше що зазвичай бази даних починають накопичуватися не відразу, а через якийсь час після початку досліджуваних подій.
Бази даних можливі в двох варіантах: картотека і цифрова база даних. Картотека - це база даних, оформлена на паперових (пластикових і т.п.)
картках. Яскравий приклад таких картотек - бібліотечні каталоги. На кожній картці вказується один інформаційний факт.
Картка обов'язково містить таку інформацію: подія, джерело отримання інформації та код його достовірності, номер в картотеці та розділу. Подія описується максимально стисло, максимально можливим рівнем конкретизації. Плюси картотек: легке оформлення, надійність збереження інформації. Мінуси: у великих картотеках досить незручно орієнтуватися, великий об'єм займаного місця: картотеки задовольняють принципам доступності конкретизації, але суперечать принципу інваріантності. Картки зберігають у спеціальних картотечних шухлядках в місці (щоб уникнути крадіжки видозміни). Обов'язкова надійна пожежна безпека.
Цифрова база даних - це база даних оформлена у вигляді комп'ютерної програми. В даному випадку все залежить від професійного рівня програми або користувача. Інформаційний зміст в цифровій базі даних аналогічно картотекам. Плюси цифрових баз даних: легка орієнтація, велика швидкість роботи. Мінуси: обов'язково наявність необхідних навичок у користувача (тим більше у програміста), велика ймовірність мимовільного псування інформації. Таким чином, цифрові бази даних задовольняють правилу інваріантності і конкретизації, але можуть суперечити правилу доступності. Цифрові бази даних зберігаються повністю в автономному комп'ютері (не приєднаному до локальної комп'ютерної мережі) на окремому жорсткому диску (вінчестері).
Для зручності користування інформацією та швидкості знаходження необхідних даних потрібна як можна більш повне сортування інформації. Спочатку інформація поділяється на сектори, розділи, підрозділи, теми.
Всі методи ІАР крутяться навколо основних параметрів: аналіз - синтез. Під аналізом розуміється розчленування події на деталі, оцінка кожного фрагмента. Синтезом є складання всіх фрагментів в струнку структуру аналізованої події. Ці два параметри нерозривні і обов'язкові.
31
Як зокрема аналізу і синтезу застосовуються поняття індукції та дедукції, абстракції та аналогії.
Індукція передбачає роботу від часткового до загального, будучи варіантом синтезу. Дедукція передбачає шлях від загального до приватного, моделюючи аналіз. Абстракція припускає спрощення ситуації і приведення її до ряду подібних. Методом абстракції користуються при моделюванні ситуацій. По суті, це синтез. Аналогія - це розчленування ситуації на складові і порівняння їх з існуючими. По суті аналогія є аналіз. Таким чином аналіз, дедукція і аналогія складають аналітичні методи дослідження, а синтез, індукція і абстракція - синтетичні.
Виділяють дві основні групи методів: стратегічні і тактичні. Стратегічні методи інакше називають узагальненими. Вони дозволяють розглянути ситуацію цілком. По суті вони є аналітичними. Тактичні методи дозволяють деталізувати картину того, що відбувається і виділити ключові події, тобто є - синтетичними методами пізнання.
Основні стратегічні методи аналітичної роботи моделювання і системний аналіз.
Моделювання - створення узагальнених і спрощених моделей ситуацій. Часто подія (набір фактів) складно аналізувати як таке. У випадку підбирається подія, що відповідає основними характеристики в основному, але більш проста для аналізу.
Одним з типових принципів моделювання є статистика - числова або математична модель. Статистики дозволяють зробити узагальнюючий висновок по вже відомій ситуації виходячи з якої можна припускати ситуацію майбутню.
Найпростіший і всім відомий приклад статистики - статистика МВС до кількості злочинів і розкриття – суть: спрощена схема кримінальної ситуації по досліджуваному регіону. Проаналізувавши моделі можна перенести результати на досліджувану подію і припустити результат. Природно, чим точніше буде підібрана модель, тим точніше буде результат аналізу основної події.
Модель може бути не тільки статистичною (тобто математичною), але будь-яка інша. Можливі моделі істеричні, бібліографічні. Важливо зрозуміти, що моделювання є найпростішим способом визначити ймовірний вихід або причину аналізованої події, а тип моделі вибирається виходячи з доступності і зручності.
Таким чином, моделювання є типовим випадком аналітичного методу дослідження. Близьким за формою йому є системний аналіз. Системний аналіз передбачає оцінку ситуації як самостійної системи, що має два основних
32
параметри - вхід і вихід. Під входом маються на увазі чинники, що вносять зміну в систему. Під виходом - результат впливу цих факторів. Вихід зіставляється з існуючими ресурсами При невідповідності виведення ресурсів необхідно шукати інший вихід (рис 2)
Змінення 1
Подразник 
Проблема
Ресурси
Змінення 2
Рис. 2. Пошук іншого виходу
Аналіз відбувається по кожному з можливих «факторів роздратування» без урахування інших факторів, крім ресурсного забезпечення.
Обумовивши методи, до яких вдаються для аналізу, необхідно обумовити і способи застосування цих методів.
Існує три основних способи аналітичної роботи: одиночний, парний, «мозковий штурм».
Одиночний спосіб - робота окремого аналітика. Аналітик сам вибирає методи дослідження, проводить необхідну роботу, готує висновок. Виділяються кілька типів аналітичних працівників залежно від використовування ними прийомів роботи.
•Митець. На аркуші паперу олівцем графічно відзначаються факти, і між ними вибудовуються взаємозв'язки. Картинка наочна, її легко виправити (за допомогою ластику і пари штрихів). В результаті малювання такої картинки доволі нескладно відсіяти малозначні факти і ви ділити найбільш важливі. В результаті такого малювання випливає центральний факт або прогноз розвитку логічного ланцюжка.
•Комбінатор. На паперових картках надписуються відповідні факти. Після цього картки розкладаються у відповідному порядку, міняються місцями
іт. п. У результаті відновлюється весь логічний ланцюжок, який можна продовжити.
•Лектор. Аналітик промовляє відомі факти, намагається їх логічно вибудувати, як би читаючи лекцію. В результаті такої промови випливають забуті деталі, передбачаються нові напрямки пошуку, виводяться підсумки дії. Часто після такого варіанту аналізу події зв'язуються в дуже послідовний логічний ланцюжок, висновок стає дуже явним.
33
•Кресляр (або математик). Такий фахівець любить надавати своїй роботі числовий варіант і переносити її на графіки. Далі йде аналіз функції за графіком.
Парна робота передбачає обговорення проблеми парою аналітика. При цьому зазвичай йде робота на протилежностях оптиміст – песиміст, синтетик - критик, кореспондент - респондент і т.п. Оптиміст розглядає проблему з точки зору бажаного результату песиміста, припускаючи найгірший варіант. Синтетик створює логічний ланцюжок подій. Критик висловлює зауваження навіть по найдрібніших деталях, кореспонденту задає "незручні" запитання, а респондент намагається на них відповісти у результаті формується точка зору влаштовує обох аналітиків.
«Мозковий штурм» є дуже ефективним прийомом роботи злагодженої групи фахівців. «Мозковий штурм» - оперативний метод аналізу проблеми групою спеціалістів з усіх ракурсів і пошук неадекватних і несподіваних способів її вирішення.
Цей метод був вироблений в стінах «РЕНД Корпорейшн». Діяльність РЕНД Корпорейшн вважається еталонною і епохальною тому що:
•вона вперше об'єднала сукупності найрізноманітніших методів збору та аналізу інформації, виробила наступний щабель, системний підхід і аналіз;
•ця корпорація прийняла величезну участь у науково-методологічному забезпеченні «холодної війни»
Суть методу - аналітики збираються в одному приміщенні і починається спільне обговорення проблеми. Зазвичай кожен по черзі висловлює своє припущення, а решта його обговорюють. Обмеження - неприпустима різка критика припущення опонентами. Це може бути причиною «замикання» одного
зчленів команди. Підсумком обговорення є необхідний висновок. При роботі способом групової пари кожна група працює за способом «мозкового штурму»
Науковий аналіз Ця та декілька наступних тем присвячені науковим методам збору
систематизації та обробки фактів - тому що називається аналізом. Правила логіки, застосовувані для аналізу події:
1.Закон причинно-наслідкових зв'язків
Кожна подія в матеріальному світі має причину і тягне за собою наслідок. Подія не може відбутися сама по собі, вона має бути чим-небудь викликана. Факт, який викликав появу події, називається причиною. Часто у події може бути кілька причин, одна або декілька з яких і викликали появу
34
події. Однакові причини при відсутності інших тягнуть однакові події. При цьому подія, що викликається причиною, називається наслідком.
Будь-яка подія має слідство, тобто явище, що сталося в результаті дії аналізованої події. Часто подія може викликати кілька наслідків, одне або декілька з яких і відбуваються. На підставі вищевикладеного можна зробити висновок, що будь-яка подія одночасно є і наслідком якої-небудь події, і причиною іншої або тієї ж (наприклад ланцюгова реакція) події. Побудова подій в їх причинно-слідчому порядку називається побудовою причиннонаслідкового або логічного ланцюжка.
Логічний ланцюжок може бути безперервним (коли всі факти суворо слідують один за одним) і переривчастим (коли один або декілька фактів опушені і можливо маються на увазі). Необхідно пам'ятати, що переривчастий логічний ланцюжок може привести в підсумку до спотворень (або можливості спотворення) інформації. Наприклад маємо ланцюжок: А йде по вулиці; В нападає на А; А б'є В; В отримує травму і опиняється в лікарні. Якщо ми опустимо третій факт, то можна буде припустити що А не бив В а просто обійшов його. Після цього, В впав (або його вкусила собака, скорпіон, канібал) і від отриманої травми зліг у лікарню. У наявності неповна причинний інформація, яка спричинила за собою спотворення всієї події.
2.Закон форми і змісту
Однаковість форм не передбачає однаковості змісту. Слідство: форма не є причиною змісту.
Є дві однакових пляшки з рідинами. Незважаючи на те, що пляшки однакові - рідини можуть бути різні. Якщо ви зустрічаєте людину, одягнену в міліцейську форму, не варто запевняти себе в тому, що він міліціонер. Імовірно, що він одягнув форму для виконання своїх корисливих цілей. Тому не варто забувати, що оболонка ніяк не визначає внутрішню сутність, а лише припускає якоюсь часткою ймовірності.
3.Закон тотожності
Об'єм про зміст думки про який небудь предмет повинен бути строго визначений і залишатися постійним в процесі міркування про нього.
Безпосередньо перед логічним аналізом поняття (події) ми повинні чітко визначити його (обмежити обсяг і зміст) і в процесі міркування не підміняти цього визначення.
Варіантом порушення закону є використання різних значень слова в одному певному контексті міркувань.
35
Порушення закону тотожності називається підміною поняття і тягне за собою спотворення (або підміну) предмета міркування, систематизації, обробки, побудови логічних і математичних моделей і т.п. До логічних висновків додається інтуїція аналітика, навчитися якої неможливо. Вона набувається в процесі тривалої роботи за цією спеціальністю.
Аналітичний висновок повинен бути доказовий, перевіряємий, стислий і необхідний.
1.Показовість виведення. Проявляється в тому, що він повинен бути повністю підтверджений кодом аналітичного дослідження. Непідтверджена частина виведення цьому правилу не задовольняє і використовуватися не може.
2.Перевірка висновку полягає в можливості перевірити в майбутньому або по інших каналах вірність викладок.
3.Стислість необхідна для керівника. Як говорилося на початку, аналітичний підрозділ стає необхідним тоді, коли керівник не може справлятися з інформаційним потоком. Тому висновки аналітика повинні бути короткими і точними. В іншому випадку аналіз втрачає свою цінність для керівника.
4.Необхідність аналітичного висновку диктується тими ж умовами. Аналітик повинен займатися тільки тими напрямками аналізу, які перспективні для керівника підприємства. Потребує високого професіоналізму і максимального рівня аналітичного мислення, систематизації фактів і визначення можливих наслідків безпосередньо. Тому для полегшення роботи часто використовується прийом роботи «з кінця». Спочатку визначається можливий висновок, після цього всі факти підтасовуються під нього. Висновок вважається коректним, коли під нього підійшли всі наявні у аналітика факти.
Правила інформаційно-аналітичної роботи
1.Правило формулювання ланцюга. Необхідно визначити, в яких цілях будуть використані результати ІАР. Від цього залежить масштаб, методи і спосіб вирішення завдання. Перед аналітиком повинні бути поставлені конкретні зрозумілі ланцюги.
2.Правило визначення понять полягає в точному визначенні сенсу кожного терміна, використовуваного в ІАР. Слід виявити коло термінів, понять, які повинні мати чітке визначення і трактуватися однозначно.
3.Правило використання всіх можливих джерел інформації з даної тематики. Аналітику доводиться працювати з інформацією, яку він має в даний момент. Чекати повноцінної інформації від надійного джерела - значить втрачати час. Необхідно відпрацювати всі можливі джерела, визначити
36
достовірність кожного інформаційного осередку і працювати виходячи з даних фактів.
4.Правило інтерпретації фактів. Передбачає розкриття сенсу значення фактів, зіставлення їх з аналогічними, що мали місце раніше.
5.Правило встановлення причинно-наслідкових зв'язків. У будьякому випадку, необхідно встановити причини аналізованої події і виділити її слідства.
6.Правило визначення тенденції розвитку об'єкта. Необхідно припускати, як дана подія буде розвиватися. Треба визначити можливі шляхи її розвитку, сигнальні події для кожного варіанту розвитку, свої майбутні дії.
7.Правило встановлення ступеня достовірності. Дане правило застосовується до всіх аналітичних досліджень. З урахуванням якості отриманої інформації і кваліфікації аналітика, якість (вірогідність) виведення може бути високою, середньою або низькою.
8.Правило коректності висновків. Правило не допускає довільності висновків. Важливо пам'ятати, що висновки повинні підтверджуватися базовою інформацією. Інша важлива вимога до висновків - необхідність утримання відповіді на поставлене питання.
Глава 5. Забезпечення інформаційної безпеки в провідних країнах
світу
Проблема визначення вимог до захисту інформації в автоматизованих системах її обробки виникла практично одночасно з самою проблемою захисту, тобто коли засоби електронно-обчислювальної техніки (ЕОТ) стали застосовуватися для обробки конфіденційної інформації. При цьому виявилося, що для її вирішення немає скільки адекватного аналога, оскільки в умовах паперової інформатики питання захисту інформації вирішувалися переважно організаційними засобами. Система захисту будувалася таким чином, щоб можливості несанкціонованого отримання інформації, що захищається, практично були виключені. В умовах же автоматизованої обробки існує велика кількість таких каналів несанкціонованого отримання інформації, які не можуть бути перекриті без застосування специфічних технічних та програмноапаратних засобів. Відповідно виникла необхідність визначення вимог до систем захисту, що містять зазначені кошти. Завдання виявилося досить складним, в силу чого регулярна методика його рішення до теперішнього часу не розроблена.
37
У сформованій ситуації найбільш підходящим виявився підхід, заснований на виділенні деякої кількості типових систем захисту з чітким позначенням тих механізмів захисту, які повинна містити кожна з типових систем, і розробці рекомендацій з їх використання.
Для оцінки реального стану безпеки інформаційної системи застосовуються різні критерії. Аналіз вітчизняного та зарубіжного досвіду показав певну спільність підходу до визначення стану безпеки в різних країнах. Її сутність полягає в наступному. Для надання користувачу можливості оцінки вводиться деяка система показників і задається ієрархія класів безпеки. Кожному класу відповідає певна сукупність обов'язкових функцій. Ступінь реалізації обраних критеріїв показує поточний стан безпеки. Подальші дії зводяться до порівняння реальних загроз з реальним станом безпеки.
Якщо реальний стан перекриває загрози в повній мірі, система безпеки вважається надійною і не вимагає додаткових заходів. Таку систему можна віднести до класу систем з повним перекриттям загроз і каналів витоку інформації. В іншому випадку система безпеки потребує додаткових заходів захисту.
Показник захищеності ІС - характеристика засобів системи, що впливає на захищеність і описана певною групою вимог, варійованих за рівнем і глибиною в залежності від класу захищеності.
Вимоги до безпеки інформаційних систем у США
Питаннями стандартизації і розробки нормативних вимог на захист інформації в США займається Національний центр комп’ютерної безпеки Міністерства оборони США (NCSC - National Computer Security Center).
Цей центр у 1983 р. видав «Критерії оцінки безпеки комп'ютерних систем» (Trasted Computer Systems Evaluation Criteria - TCSEC). Цей документ часто називають «Помаранчевою книгою». Дана розробка широко використовувалася аж до прийняття міжнародного стандарту з безпеки інформаційних технологій ISO 15408. «Помаранчева книга» була затверджена в 1985 р. як урядовий стандарт. Вона містить основні вимоги та специфіку, класи для оцінки рівня безпеки комп'ютерних систем. Використовуючи ці критерії, NCSC тестує ефективність механізмів контролю безпеки. Слід підкреслити, що критерії роблять безпеку величиною, що допускає її вимір, і дозволяють оцінити рівень безпеки тієї чи іншої системи. Подібна можливість емпіричного аналізу ступеня безпеки систем призвела до міжнародного визнання федерального стандарту США. NCSC вважає безпечної систему, яка «за допомогою спеціальних механізмів захисту контролює доступ до інформації
38
таким чином, що відповідні повноваження мають тільки особи або процеси, що виконуються від їхнього імені, можуть отримати доступ на читання, запис, створення або видалення інформації».
Стандарт США «Критерії оцінки гарантовано захищених обчислювальних систем в інтересах Міністерства оборони США».
Найбільш відомим документом, що чітко визначає критерії, за якими має оцінюватися захищеність обчислювальних систем, і ті механізми захисту, які повинні використовуватися в системах обробки секретної конфіденційної - в більш загальній постановці - інформації, є так звана «Помаранчева книга», що представляє собою стандарт США «Критерії оцінки гарантовано захищених обчислювальних систем в інтересах Міністерства оборони США» (Trusted Computer Systems Evaluation Criteria - TCSEC), прийнятий у 1983р. Його ухваленню передували 15-річні дослідження, що проводилися спеціально створеною робочою групою та Національним бюро стандартів США.
Стандартом передбачено 6 фундаментальних вимог, яким повинні задовольняти ті обчислювальні системи, які використовуються для обробки конфіденційної інформації. Вимоги розділені на три групи: стратегія, підзвітність, гарантії - в кожній групі по дві вимоги такого змісту:
1.Стратегія
Вимога 1 - стратегія забезпечення безпеки: необхідно мати явну і добре визначену стратегію забезпечення безпеки.
Вимога 2 - маркування: керуючі доступом мітки повинні бути пов'язані з об'єктами.
2.Підзвітність
Вимога 3 - ідентифікація: індивідуальні суб'єкти повинні ідентифікуватися.
Вимога 4 - підзвітність: контрольна інформація повинна зберігатися окремо і захищатися так, щоб з боку відповідальної за це групи була можливість відслідковувати дії, що впливають на безпеку.
3.Гарантії
Вимога 5 - гарантії: обчислювальна система в своєму складі повинна мати апаратні / програмні механізми, що допускають незалежно оцінку на предмет достатнього рівня гарантій того, що система забезпечує виконання викладених вище вимог з 1-ї по 4-ту.
Вимога 6 - постійний захист: гарантовано захищені механізми, що реалізують перераховані вимоги, повинні бути постійно захищені від «виламування» і / або несанкціонованого внесення змін.
39
В залежності від конкретних значень, яким відповідають автоматизовані системи, вони розділені на 4 групи - D, С, В, А, які названі так:
•D - мінімальна захист;
•С - індивідуальний захист;
•В - мандатна захист;
•А - верифікована захист.
Групи систем діляться на класи, причому всі системи, що відносяться до групи В, утворюють один клас В, до групи С - два класи С1 і С2, до групи В - три класи В1, В2 і ВЗ, до групи А - один клас А1 з виділенням частини систем поза класом.
Нижче розглянемо назви та коротку характеристику перерахованих класів.
•D - мінімальний захист - системи, піддані оцінюванню, але не відповідають вимогам більш високих класів.
•С1 - захист, заснований на індивідуальних заходах системи, забезпепечує поділ користувачів і даних. Вони містять засоби, здатні реалізувати обмеження щодо доступу, що накладаються на індивідуальній основі, тобто дозволяють користувачам мати надійний захист їх інформації і не дають іншим користувачам зчитувати або руйнувати їх дані. Допускається кооперування користувачів за рівнями таємності.
•С2 - захист, заснований на керованому доступі, - системи, що здійснюють не тільки поділ користувачів, як в системах С1, але і поділ їх по здійснюваним діям.
•В1 - захист, заснований на присвоєнні імен окремим засобам безпеки, - системи, що розташовують всіма можливостями систем класу С, і додатково мають бути формальні моделі механізмів забезпечення безпеки, присвоювання імен, захищається даними, включаючи і видавані за межі системи, і засоби мандатного управління доступом до всіх пойменованих суб'єктів і об'єктів.
•В2 - структурований захист - системи, побудовані на основі ясно визначеної і формально задокументованої моделі, з мандатним управлінням, доступом до всіх суб'єктів і об'єктів, що розташовують посиленими засобами тестування і засобами управління з боку адміністратора системи.
•ВЗ - домени безпеки - системи, монітор звернень яких контролює всі запити на доступ суб'єктів до об'єктів, що не допускають несанкціонованих змін. Обсяг монітора повинен бути невеликим разом з тим, щоб його стан і роботу можна було порівняно легко контролювати і тестувати. Крім того,
40