125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / V_P_Babak_A_A_Kliuchnykov-Teoreticheskye_osnovy_zashchity_informat
...pdfТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
____________________________________________________________________________________________
ростепенными, несущественными признаками. Например, в большинстве случаев крайне сложно подобрать точные функциональные зависимости, соответствующие электрическим колебаниям, наблюдаемым в процессе эксперимента. Но исследователь, руководствуясь всей совокупностью доступных ему ведомостей о системе в целом, выбирает из имеющегося набора математических моделей сигналов именно те, которые в конкретной ситуации с достаточной точностью описывают физический процесс. Итак, выбор модели в той или иной степени - процесс творческий.
Сложность освещения проблемы безопасности информации связана с отсутствием до этого времени общепринятого толкования терминов, используемых для описания в этой области. Так, наряду с терминами «безопасность информации», «защита информации» в последнее время активно используется термин «информационная безопасность», определяемый толкованием того контекста, в котором он употребляется.
С учетом вышеизложенного приведем список основных понятий, используемых в дальнейшем, и раскроем их содержание.
Безопасность информации – состояние защищенности данных, обрабатываемых, сохраняемых и передаваемых, от незаконного вмешательства с целью нарушения физической и логической целостности информации (ознакомления, преобразования или искажения и уничтожения) или несанкционированного использования.
Угроза безопасности информации – события или действия, могущие вызывать нарушение функционирование системы, связанное с уничтожением или несанкционированным использованием информации, которая в ней обрабатывается.
Уязвимость информации - возможность возникновения на одном из этапов жизненного цикла системы такого состояния, при котором создаются условия для реализации угроз безопасности информации.
Защищенность информации – поддержка в системе на заданном уровне параметров данных, характеризующих установленный статус их обработки, сохранения и использования.
Защита информации – процесс создания и использования в системе специальных механизмов, поддерживающих статус их защищенности.
Комплексная защита информации – целенаправленное регулярное использование в системах средств и методов, а также принятие мер с целью поддержки заданного уровня защищенности информации по всей совокупности показателей и условий, существенных с точки зрения обеспечения безопасности информации.
Заведомо защищенная информационная технология – унифицирован-
ная в широком спектре применений информационная технология, содержащая все механизмы для обеспечения необходимого уровня защиты как основного показателя качества информации.
Качество информации – совокупность свойств, обусловливающих спо-
20
Глава 1. Основные понятия защиты информации
____________________________________________________________________________________________
собность информации удовлетворять конкретные запросы в соответствии с ее назначением.
1.2.Угрозы безопасности информации
иметоды оценки ее уязвимости
Под угрозой безопасности (конфиденциальности) информации понимают потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.
Такими действиями являются:
ознакомление с конфиденциальной информацией разными путями и средствами без нарушения ее целостности;
модификация информации в криминальных целях – частичное или значительное изменение состава и содержания сведений;
разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.
Противоправные действия с информацией приводят, в конце концов, к нарушению ее конфиденциальности, полноты, достоверности и доступности (рис. 1.8), нарушая как режим управления, так и его качества при условии ошибочной или неполной информации.
УГРОЗЫ ИНФОРМАЦИИ |
|
|
проявляются в нарушении |
|
|
Конфиденциальности |
Целостности |
|
Разглашение |
Искажение |
|
Утечка |
Ошибки |
|
Несанкционирован- |
Потери |
|
ный доступ |
||
|
||
Достоверности |
Доступности |
|
Фальсификация |
Нарушение связи |
|
Подделка |
|
|
|
Запрет получения |
|
Мошеничество |
|
|
Рис. 1.8. Проявление угроз безопасности информации |
||
Каждая угроза влечет за собой конкретные убытки – моральные или материальные, а защита и противодействие угрозам должны снизить объемы ущерба, в идеале – полностью, реально – значительно или хотя бы частично.
21
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
____________________________________________________________________________________________
Но и это удается не всегда. Сказанное дает возможность произвести классификацию угроз безопасности информации (рис. 19).
КЛАССИФИКАЦИЯ УГРОЗ
Угроза – потенциально возможные или реальные действия, приводящие к моральным или материальным убыткам
По объектам
Персонал Материальные и финансовые цености Информация
По убыткам
Материальный
Моральный
По объему убытков
Предельный
Значительный
Незначительный
По отношению к объекту
Внутренние
Внешние
По вероятности возникновения
Весьма вероятны Вероятны Маловероятны
По характеру действия
Активные
Пассивные
По причинам появления
Стихийные
Умышленные
Рис.1.9. Классификация угроз безопасности информации
Систематизируем известные угрозы безопасности информации разнообразного происхождения и сведем их в табл. 1.1.
Приведем короткий комментарий использованных в табл. 1.1 определений классификации, их значений и содержания.
Виды угроз. Данный параметр является основополагающим, определяющим целевую направленность защиты информации.
Происхождение угроз. В табл. 1.1 выделены два значения этого параметра: случайное и преднамеренное. Под случайным понимается такое происхождение угроз, которое обусловливается спонтанными и не зависящими от воли людей обстоятельствами, возникающими в системе в процессе ее функционирования. Наиболее известными событиями данного плана являются отказы, ошибки, стихийные бедствия и побочные влияние.
22
Глава 1. Основные понятия защиты информации
____________________________________________________________________________________________
Сущность перечисленных событий (кроме стихийных бедствий, сущность которых ясна) определяется следующим образом:
отказ – нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций;
сбой – временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции;
ошибка – неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического (постоянного или временного) его состояния;
побочное влияние - негативное действие на систему в целом или отдельные ее элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.
|
|
Таблица 1.1 |
|
|
|
Параметры |
Значения параметров |
Содержание значения параметра |
классифика- |
|
|
ции |
|
|
|
|
|
1. Виды |
1.1. Физическая целостность |
Уничтожение (искажение) |
|
1.2. Логическая структура |
Искажение структуры |
|
1.3. Содержание |
Несанкционированная модификация |
|
1.4. Конфиденциальность |
Несанкционированное получение |
|
1.5. Право собственности |
Присвоение чужого права |
2. Природа |
2.1. Случайная |
Отказы, сбои, ошибки, стихийные |
происхождения |
|
бедствия, побочные явления |
|
2.2. Умышленная |
Злоумышленные действия людей |
3. Предпосылки |
3.1. Объективные |
Количественный недостаток элемен- |
появления |
|
тов системы, качественный недоста- |
|
|
ток элементов системы |
|
3.2. Субъективные |
Разведывательные органы иностран- |
|
|
ных государств, промышленный |
|
|
шпионаж, деятельность криминаль- |
|
|
ных (преступных) элементов, дей- |
|
|
ствия недобросовестных сотрудни- |
|
|
ков системы |
4. Источники |
4.1. Люди |
Посторонние лица, пользователи, |
угроз |
|
персонал |
|
4.2. Технические устройства |
Регистрация, передача, хранение, |
|
|
обработка, выдача |
|
4.3. Модели, алгоритмы, |
Общего назначения, прикладные, |
|
программы |
вспомогательные |
|
4.4. Технологические |
Ручные, интерактивные, машинные, |
|
системы обработки |
сетевые |
|
4.5. Окружающая среда |
Состояние атмосферы, побочные |
|
|
шумы и помехи, побочные сигналы. |
|
|
23 |
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
____________________________________________________________________________________________
Преднамеренное возникновение угрозы обуславливается злоумышленными действиями людей.
Предпосылка появления угроз. В табл. 1.1 приведены две возможные разновидности предпосылок: объективные (количественная или качественная недостаточность элементов системы) и субъективные (деятельность разведывательных органов иностранных государств, промышленный шпионаж, деятельность уголовных элементов, действия недобросовестных сотрудников системы).
Перечисленные разновидности предпосылок интерпретируются следующим образом:
количественная недостаточность - физическая нехватка одного или не-
скольких элементов системы, вызывающая нарушение технологического процесса обработки данных и/или перегрузку имеющихся элементов;
качественная недостаточность - несовершенство конструкции (организации) элементов системы, в силу чего могут появляться возможности случайного или преднамеренного негативного воздействия на хранимую или обрабатываемую информацию;
деятельность разведывательных органов иностранных государств -
специально организуемая деятельность государственных органов, профессионально ориентированных на получение необходимой информации всеми доступными способами. К основным видам разведки относятся: агентурная (несанкционированная деятельность профессиональных разведчиков, завербованных агентов и так называемых «доброжелателей») и техническая, охватывающая радиоразведку (перехват радиоэлектронными средствами информации, циркулирующей в коммуникационных каналах), радиотехническую разведку (регистрацию спецсредствами электромагнитных излучений технических систем) и космическую разведку (использование космических кораблей и искусственных спутников Земли) для наблюдения за территорией, ее фотографирования, регистрации радиосигналов и получения полезной информации любыми иными доступными методами;
промышленный шпионаж - негласная деятельность организаций (ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или хищения, с целью создания для себя благоприятных условий и получения максимальных выгод (недобросовестная конкуренция);
злоумышленные действия уголовных элементов - хищение информации или компьютерных программ в целях наживы;
действия недобросовестных сотрудников - хищение (копирование) или уничтожение информационных массивов и/или программ по эгоистическим или корыстным мотивам, а также в результате несоблюдения установленного порядка работы с информацией.
Источники угроз. Под источником угроз понимают непосредственный их генератор или носитель. Таким источником могут быть люди, технические
24
Глава 1. Основные понятия защиты информации
____________________________________________________________________________________________
средства, модели (алгоритмы), программы, внешняя среда.
Попытаемся теперь, опираясь на приведенную системную классификацию угроз безопасности информации, определить полное множество угроз, потенциально возможных в современных автоматизированных системах. При этом необходимо учесть не только все известные (ранее проявлявшиеся) угрозы, но и такие угрозы, которые ранее не проявлялись, но потенциально могут возникнуть при нынешних концепциях архитектурного построения автоматизированных систем и технологических схем обработки информации.
Классифицируем все возможные каналы несанкционированного получения информации (КНПИ) по двум критериям - необходимости доступа (физического или логического) к элементам системы для реализации какого-либо КНПИ и зависимости появления канала от состояния системы.
Всоответствии с первым критерием КНПИ могут быть разделены на каналы, не требующие доступа, т.е. позволяющие получать необходимую информацию дистанционно (например, путем визуального наблюдения через окна помещений системы), и каналы, требующие доступа в помещения системы. В свою очередь КНПИ, воспользоваться которыми можно только получив доступ в помещение системы, делятся на каналы, не оставляющие следов в системе (например, визуальный просмотр изображений на экранах мониторов или документов на бумажных носителях), и на КНПИ, использование которых оставляет какие – либо следы (например, кража документов или машинных носителей информации).
По второму критерию КНПИ подразделяются на каналы, потенциально существующие независимо от состояния системы (например, похитить носитель информации можно независимо от нахождения системы в рабочем или нерабочем состоянии), и каналы, существующие только в рабочем состоянии системы (например, побочное электромагнитное излучение и наводка).
Всоответствии с изложенным классификация КНПИ может быть представлена следующей таблицей (табл. 1.2.).
|
|
Таблица 1.2 |
|
|
|
|
|
Зависимость от доступа |
Отношение к обработке информации |
||
Проявляющиеся безотносительно |
Проявляющиеся в процес- |
||
к элементам системы |
|||
к обработке |
се обработки |
||
|
|||
Не требующие доступа |
1-й класс - общедоступные постоянные |
2-й класс - общедоступ- |
|
ные функциональные |
|||
|
|
||
Требующие доступа без |
3-й класс - узкодоступные постоянные |
4-й класс - узкодоступные |
|
функциональные без |
|||
замены элементов системы |
без оставления следов |
||
оставления следов |
|||
|
|
||
Требующие доступа с из- |
5-й класс - узкодоступные постоянные |
6-й класс - узкодоступные |
|
менением элементов систе- |
функциональные с остав- |
||
с оставлением следов |
|||
мы |
лением следов |
||
|
|||
КНПИ 1-го класса – каналы, выявляемые безотносительно к обработке информации и без доступа злоумышленника к элементам системы. Сюда можно отнести подслушивание разговоров, провоцирование разговоров с лицами, имеющими отношение к информационным системам, и использование
25
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
____________________________________________________________________________________________
злоумышленником визуальных, оптических и акустических средств. Такой канал может обнаружиться и путем похищения носителей в момент их нахождения за пределами помещения, в котором расположена система.
КНПИ 2-го класса - каналы, выявляемые в процессе обработки информации без доступа злоумышленника к элементам информационных систем. Сюда можно отнести электромагнитное излучение разнообразных устройств вычислительной техники, аппаратуры и линий связи; паразитные наводки в цепях питания, телефонных сетях, системах теплоснабжения, вентиляции и канализации, шинах заземления; подключение к информационно - вычислительной сети генераторов помех и регистрирующей аппаратуры. К этому же классу можно отнести осмотр отходов производства, поступающих за пределы контролируемой зоны.
КНПИ 3-го класса - каналы, выявляемые безотносительно обработки информации с доступом злоумышленника к элементам информационных систем, но без изменений последних. К ним относятся разнообразные виды копирования носителей информации и документов, а также похищение производственных отходов.
КНПИ 4-го класса - каналы, выявляемые в процессе обработки информации
сдоступом злоумышленника к элементам информационных систем, но без изменений последних. К ним относятся запоминание и копирование информации в процессе ее обработки, использование программных ловушек, недостатков языков программирования и операционных систем, а также поражение программного обеспечение вредоносными закладками, маскировка под зарегистрированного пользователя.
КНПИ 5-го класса - каналы, выявляемые безотносительно обработки информации с доступом злоумышленника к элементам информационных систем и
сизменениями последних. Среди этих каналов - подмена и похищение носителей информации и аппаратуры, включения в программы блоков типа «троянский конь», «компьютерный червь» и т.д., чтение остаточной информации, содержащейся в памяти, после выполнения санкционированных запросов
КНПИ 6-го класса - каналы, выявляемые в процессе обработки информации с доступом злоумышленника к элементам информационных систем и с изменением последних. Сюда можно отнести незаконное подключение к аппаратуре и линиям связи, а также снятие информации на шинах питания различных элементов информационных систем.
При выполнении практических заданий защиты информации первостепенное значение имеет количественная оценка ее уязвимости. Рассмотрим возможные подходы к определению этой оценки.
Несанкционированное получение информации в системах возможно не только в результате непосредственного доступа к базам данных, но и многими иными путями, не требующими доступа. При этом основную опасность представляют действия злоумышленников. Воздействие случайных факторов само по себе не приводит к несанкционированному получению информации,
26
Глава 1. Основные понятия защиты информации
____________________________________________________________________________________________
оно только способствует появлению КНПИ, которыми может воспользоваться злоумышленник.
Потенциально возможные несанкционированные действия могут иметь место в различных зонах (рис.1.10.):
внешней неконтролируемой зоне — территории вокруг информацион-
ной системы, на которой не используются никакие средства и не принимаются никакие меры по защите информации;
зоне контролируемой территории — территории вокруг помещений информационной системы, непрерывно контролируемой специальными средствами и персоналом;
зоне помещений информационной системы — внутреннего простран-
ства помещений, в котором размещены средства системы;
зоне ресурсов информационной системы — части помещений, откуда возможен непосредственный доступ к ресурсам системы;
зоне баз данных — части ресурсов системы, в которых возможен непосредственный доступ к защищаемым данным.
Территориальные зоны возможных несанкционированных действий
Внешняя |
Контролируемая |
|
неконтролируемая |
||
территория |
||
территория |
||
|
||
Помещение |
Ресурсы информационной |
|
информационной системы |
системы |
Базы данных
Рис. 1.10. Территориальные зоны возможных несанкционированных действий
При этом для несанкционированного получения информации необходимо одновременное наступление следующих событий:
нарушитель должен получить доступ в соответствующую зону; во время пребывания нарушителя в зоне в ней должен появиться (суще-
ствовать) соответствующий КНПИ; появившийся КНПИ должен быть доступен нарушителю соответствующей
категории; в КНПИ в момент доступа к нему нарушителя должна находиться за-
щищаемая информация.
Попробуем теперь с учетом изложенного вывести формулу для оценки уязвимости информации, обрабатываемой в информационных систе-
27
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
____________________________________________________________________________________________
мах. Для этого введем такие обозначения:
PijlД - вероятность доступа нарушителя k-й категории в l-ю зону i-го компонента информационной системы;
PijlН - вероятность наличия (проявления) j-го КНПИ в l-й зоне i-го компонента информационной системы;
PijklП - вероятность доступа несанкционированного получения информации
k-й категории к j-му КНПИ в l-й зоне i-го компонента при условии доступа нарушителя в эту зону;
PijlЗ - вероятность наличия информации в j-м КНПИ в l-й зоне i-го компо-
нента в момент доступа туда нарушителя для несанкционированного получения информации.
Тогда вероятность несанкционированного получения информации нарушителем k-й категории по j-му КНПИ в l-й зоне i-го структурного компонента информационной системы можно определить такой зависимостью:
P |
PД PН PП |
PЗ . |
(1.1) |
ijkl |
ikl ijl ijkl |
ijl |
|
Вероятность несанкционированного получения информации в одной компоненте информационной системы одним злоумышленником одной кате-
гории по одному КНПИ назовем базовым показателем уязвимости инфор-
мации (учитывая несанкционированное получение информации). С учетом (1.1) выражение для базового показателя примет такой вид:
Б |
5 |
|
|
5 |
|
Д Н П З |
(1.2) |
Pikl |
1 1 |
Pijkl |
1 1 |
Pikl Pijl Pijkl Pijl . |
|||
|
l 1 |
|
|
l 1 |
|
|
|
Рассчитанные таким образом базовые показатели уязвимости сами по себе имеют ограниченное практическое значение. Для решения задач, связанных с разработкой и эксплуатацией систем защиты информации, необходимы значения показателей уязвимости, обобщенные по какому-либо индексу (i, j, k) или по их комбинации.
Рассмотрим возможные подходы к определению таких частично обобщенных показателей. Пусть (K*) – интересующее нас подмножество из полного множества потенциально возможных нарушителей. Тогда вероятность нарушения защищенности информации множеством нарушителей по j-му
фактору в i-й компоненте информационной системы |
Pr |
определится как |
|
ij K |
|
r |
1 |
|
Б |
(1.3) |
Pij K |
1 |
Pijr , |
||
|
K |
|
|
|
где означает перемножение выражений в скобках для всех k, входящих в
K
подмножество {K*}. При этом верхний индекс r будет принимать значения i, j или k в зависимости от того, какие базовые показатели (нарушение целостно-
28
Глава 1. Основные понятия защиты информации
____________________________________________________________________________________________
сти информации, ее несанкционированное получение или размножение) используются при расчетах.
Аналогично, если {J*} — подмножество интересующих нас КНПИ, то уязвимость информации в i-й компоненте по данному подмножеcтву факторов относительно k-го нарушителя определится выражением
r |
|
Б |
(1.4) |
Pi J k |
1 1 |
Pijkl . |
|
|
J |
|
|
Наконец, если {I*} — подмножество интересующих нас структурных компонент информационной системы, то уязвимость информации в них по j- му каналу несанкционированного получения информации k-м нарушителем
P |
r |
1 |
|
P |
Б |
(1.5) |
|
1 |
. |
||||
I jk |
|
|
ijk |
|
||
|
|
|
I |
|
|
|
Каждое из приведенных выражений позволяет проводить обобщения по одному параметру. Можно получить и общее выражение, если нас интересуют подмножества {I*}, {J*}, {K*} одновременно. В этом случае
P |
r |
1 |
|
P |
Б |
|
P |
Б |
|
|
P |
Б |
(1.6) |
|
1 |
|
1 |
|
1 |
. |
|||||||
I J K |
|
|
ijr |
|
ijr |
|
ijr |
|
|||||
|
|
|
I |
|
|
J |
|
|
K |
|
|
|
|
Очевидно, при таком подходе общий показатель уязвимости Pr определяется выражением
Pr 1 |
|
1 PБ |
1 PБ |
1 PБ . |
(1.7) |
|||
|
|
ijk |
ijk |
ijk |
|
|||
|
i |
|
|
j |
|
k |
|
|
На практике наибольший интерес представляют экстремальные показатели уязвимости, характеризующие наиболее неблагоприятные условия защищенности информации: самый уязвимый структурный компонент информационной системы (i´), наиболее опасный КНПИ (j´), наиболее опасная категория нарушителей (k´).
Рассмотрим далее методы расчета показателей уязвимости инфор-
мации с учетом интервала времени, на котором оценивается уязвимость. При этом следует учитывать, что с увеличением интервала времени увеличиваются возможности нарушителя для осуществления злоумышленных действий и тем выше вероятность изменения состояния информационной системы и условий автоматизированной обработки информации.
Можно определить такие интервалы времени (не сводимые к точке), на которых процессы, связанные с нарушением защищенности информации, были бы однородными. Назовем такие интервалы малыми. Каждый малый интервал, в свою очередь, может быть разделен на очень малые интервалы, уязвимость информации на которых определяется независимо от других. При этом, в силу однородности происходящих процессов, уязвимость информации на каждом из выделенных очень малых интервалов определяться по од-
29