1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
Как отмечалось выше, требования к корректности реализации механизмов защиты сформулированы в действующем сегодня нормативном документе [1].
Требования к достаточности – полноте набора механизмов защиты, применительно к условиям использования системного средства, сформулированы в действующем сегодня нормативном документе [2].
Достаточно долгое время (а для некоторых приложений, и по сию пору) построение системы защиты сводилось к двум задачам:
К обеспечению достатоточности механизмов защиты применительно к требуемому классу АС (определяемого в результате классификации АС, например, 1Г) в соответствии с нормативным документом, что подтвекрждается последующей аттестацией;
К обеспечению корректности механизмов защиты применительно к требуемому классу СВТ (определяемого в результате классификации АС, например, АС 1Г требуются средства защиты 5 класса СВТ) в соответствии с нормативным документом, что подтвекрждается сертификацией средств защиты.
Достоинства:
Все предельно просто и ясно, не требуется никакого анализа, каких-либо исследований и т.д., все сводится к выполнению некого набора формализованных требований к АС и к СВТ.
Недостатки:
Не решается каких-либо задач проектирования (никакие критерии оптимальности не определены – все сводится к выбору средств по критерию «цена» из множества средств, удовлетворяющих соответствующим формализованным требованиям). Здесь речь идет не о проектировании, а о построении системы защиты;
Не анализируется, для каких задач защиты используются те или иные средства и механизмы защиты, т.к. не анализируются возможные угрозы, их вероятности, опасность их реализации, поэтому какие-либо рассуждения о достаточности механизмов защиты, кроме, как на тему «нужно защититься ото всего», что бессмысленно, здесь имеют мало практического смысла;
Становится невозможной какая-либо осмысленная настройка системы защиты от актуальных угроз (т.к. последние не определены), т.е. существует некий набор механизмов защиты, которые не очень понятно, как использовать (для решения каких задач) и как настраивать.
1.3. Общий подход к проектированию системы защиты на основе оценки рисков
Вопросы оценки эффективности системы защиты и вопросы проектирования системы защиты тесно связаны, т.к. в их основе лежит единый математический аппарат решения соответствующей оптимизационной задачи. Общий подход к проектированию (к оценке эффективности) системы защиты основан на оценке рисков.
1.3.1. Общий подход к оценке эффективности системы защиты
Будем
оценивать защищенность системы (
)
количественно, в зависимости от стоимости
защищаемой информации, вероятности
взлома (успешной атаки на защищаемые
ресурсы), стоимости самой системы защиты,
производительности системы (влияние
системы защиты на вычислительные
ресурсы):
,
где
-
стоимость защищаемой информации,
-
вероятность взлома,
-
стоимость СЗИ,
-
производительность системы.
Постановка задачи оптимизации: с учетом введенного понятия защищенности системы задача состоит в обеспечении максимального уровня защищенности (как функции стоимости защищаемой информации и вероятности взлома) при минимальной стоимости системы защиты и минимальном влиянии ее на производительность системы.
С учетом сказанного может быть сделан важный вывод о многокритериальном характере задачи проектирования системы защиты, при котором, кроме обеспечиваемого уровня защищенности, должны учитываться еще ряд важнейших характеристик системы, и в первую очередь, влияние системы защиты на загрузку вычислительных ресурсов защищаемого объекта, в общем случае определяемую количеством прикладных задач, решаемых им в единицу времени.
Исходные параметры для задачи проектиррования системы защиты, а также возможности сведения задачи к однокритериальной, проиллюстрированы на рис.1.6.
Рассмотрим защищенность системы с точки зрения риска. Заметим, что использование теории рисков для оценки уровня защищенности, на сегодняшний день является наиболее часто используемым на практике подходом.
Риск
(
)
- это потенциальные потери от угроз
защищенности:
По существу, параметр риска здесь вводится как мультипликативная свертка двух основных параметров защищенности.
С другой стороны, следует рассматривать риск и как потери в единицу времени:
,
где
-
интенсивность потока взломов (под
взломом будем понимать удачнуюатаку
на защищаемые песурсы).
Эти две формулы связаны следующим соотношением:
,
где
-
общая интенсивность потока
несанкционированных попыток доступа
злоумышленниками к информации.
Рис.1.6. Критерии оценки защищенности
В
качестве основного критерия защищенности
будем использовать коэффициент
защищенности (
),
показывающий относительное уменьшение
риска в защищенной системе по сравнению
с незащищенной системой.
, (1.1)
где
-
риск в защищенной системе,
-
риск в незащищенной системе.
Таким образом, в данном случае задача оптимизации выглядит следующим образом:
Для решения этой задачи сведем ее к однокритериальной, по средством введения ограничений, получим:
,
где
и
-
заданные ограничения на стоимость
системы защиты и производительность
системы.
Целевая функция выбрана исходя из того, что именно она отражает основное функциональное назначение системы защиты - обеспечение безопасности информации.
Производительность
системы
рассчитывается
с применением моделей и методов теории
массового обслуживания и теории
расписаний (в зависимости от того,
защищается ли система оперативной
обработки, либо реального времени). На
практике возможно задание ограничения
по производительность не непосредственно
в виде требуемой производительности
системы, а как снижение производительности
(
)
информационной системы от установки
системы защиты – степень влияние системы
защиты на загрузку вычислительных
ресурсов. В этом случае задача оптимизации
будет выглядеть следующим образом:
или после сведения ее к однокритериальной
,
где
и
-
заданные ограничения на стоимость
системы защиты и снижение производительности.
Если рассчитанное значение коэффициента защищенности ( ) не удовлетворяет требованиям к системе защиты, можно изменить в рамках существующих ограниченных ресурсов заданные ограничения и решить задачу методом последовательного выбора уступок (рассмотрен ниже), задавая приращение стоимости и снижение производительности:
или
Теперь задача решается в результате реализации итерационной процедуры, путем отсеивания вариантов, не удовлетворяющих ограничительным условиям, и последующего выбора из оставшихся варианта с максимальным коэффициентом защищенности.
Выразим коэффициент защищенности через параметры угроз. В общем случае в системе присутствует множество видов угроз. В этих условиях зададим следующие величины:
-
количество видов угроз, воздействующих
на систему,
-
стоимость (потери) от взлома i-того
вида,
-
интенсивность потока взломов i-того
вида, соответственно
-
вероятность появления угроз i-того
вида в общем потоке попыток
несанкционированного доступа к
информации, причем
,
-
вероятность отражения угроз i-того
вида системой защиты.
Соответственно получим:
,
где
-
коэффициент потерь от взлома i-того
типа, показывает, какие в среднем потери
приходятся на один взлом i-того
типа.
Для
незащищенной системы
,
для защищенной системы
.
где
-
коэффициент потерь от взломов i-того
типа в единицу времени.
Для
незащищенной системы
,
для защищенной системы
.
Из (1.1) имеем
(1.2)
Если
в качестве исходных параметров заданы
вероятности появления угроз
,
то коэффициент защищенности удобно
считать через вероятности появления
угроз. Если же в качестве исходных
параметров заданы интенсивности потоков
угроз
,
то, соответственно, коэффициент
защищенности считается через интенсивность.